法人向けコミュニケーションサービスを手がける株式会社メディア4uは、同社が提供するSMS配信システムが第三者による不正アクセスを受け、管理コンソールに関するアカウント管理情報が外部に流出したと公表した。流出ファイルに含まれる可能性のある個人情報該当レコードは最大2万2928件。さらに、攻撃者が同社システムを通じて不正にSMSを送信していた事実も確認されている。多数の企業が利用する「配信基盤」が突かれたことで、影響は一社にとどまらず取引先企業へと広がりうる構図だ。
何が起きたのか
同社の公表によると、同社が提供するSMS配信システムにおいて第三者による不正アクセスが確認された。この事案は同社の親会社である株式会社ファブリカホールディングス(東証スタンダード:4193)からも別途公表されている。報道によれば、同社は2026年6月24日に不正アクセスを検知しており、同日には緊急メンテナンスの実施も告知されていた。事案の公表は2026年7月14日付で行われている。
現時点の調査で外部に流出したことが確認されているのは、同社システムの管理コンソールに係るアカウント管理情報の一覧ファイルである。当該ファイルに含まれる主な項目は、アカウントID、企業名/営業所名、担当者名、都道府県・郵便番号、通知用メールアドレス等とされる。
流出した情報と、含まれなかった情報
同社は、流出範囲の「境界」を比較的明確に示している。当該一覧ファイルには、パスワード、パスワードハッシュ、APIキー、認証トークン、および決済・請求に関する情報は含まれていないという。認証情報そのものが漏れていないことは、被害拡大を抑えるうえで一定の意味を持つ。
また、SMSの配信先であるエンドユーザーの電話番号、氏名、SMS送信本文、問い合わせ内容等については、今回確認された流出ファイルには含まれておらず、現時点で流出の事実は確認されていないとしている。つまり、影響は同社サービスを利用する取引先企業側のアカウント管理情報にとどまり、その先の一般利用者の連絡先までは及んでいない、というのが現時点での同社の説明である。
件数について、同社は当該一覧ファイルの総レコード数を9万5412件とし、このうち担当者名や個人を識別し得るメールアドレス等、個人情報に該当し得る情報を含む可能性のあるレコードとして精査した件数を2万2928件としている。ただし、これらの件数はアカウント管理上のレコード数または精査対象件数であり、対象となる本人の数とは一致しない場合があるとしている。
攻撃者による不正なSMS送信
情報流出に加えて見過ごせないのが、攻撃者が同社システムを通じて不正にSMSを送信していた事実である。同社によれば、現時点で確認されている不正送信の件数は280件。この不正送信は、現時点の調査では特定の1社のクライアントアカウントを通じて行われたものであり、その他のクライアントのアカウントから不正送信が行われた事実は確認されていないという。
正規の配信事業者のシステムから送られるSMSは、受信者にとって信頼できる送信元に見えやすい。攻撃者がこうした基盤を悪用できれば、フィッシングや詐欺SMSの「到達率」と「信頼度」を同時に高められてしまう。実際に同社は、本件に関連すると思われる不審なSMS、メール、電話等に十分注意するよう取引先に呼びかけている。
サプライチェーンの一点が突かれる怖さ
今回の事案の本質は、多くの企業が共同で利用する配信基盤という「一点」が突かれたことにある。SMS配信サービスは金融機関をはじめ幅広い業種で本人確認や通知に使われており、その基盤に不正アクセスが及べば、単一企業の情報漏えいにとどまらず、利用企業各社とその顧客接点にまで波及しうる。サプライチェーン攻撃・サービス基盤への攻撃が現実のリスクであることを、あらためて示す事例といえる。
利用企業の立場からは、外部の配信・通知サービスを使う際に、そのサービス側で万一インシデントが起きた場合の影響範囲と自社の対応手順をあらかじめ想定しておくことが重要になる。委託先で漏れうる情報は何か、認証情報は分離・保護されているか、異常なSMS送信を検知・遮断する仕組みがあるか――こうした点を平時に確認しておくことが、基盤側の事故が自社の顧客対応に波及した際の初動を左右する。今回、メディア4uが流出した情報と含まれなかった情報の境界を具体的に開示している点は、利用企業がリスクを見積もるうえで参考になる情報開示のあり方でもある。
