概要
日中経済協会は、職員1名のメールアカウントが第三者によって不正アクセスを受け、スパムメール送信に悪用されたことを公表しました。2026年6月3日11時頃から約50分間で 565件のメールが不正送信 されており、送信先は過去に同協会とやり取りのあったメールアドレスです。原因はパスワードの窃取によるなりすましアクセスで、メールボックス内の情報が第三者に閲覧・取得された可能性があります。再発防止としてパスワード管理の厳格化と多要素認証(MFA)の導入を進めるとしています。
目次
1. 何が起きたか
日中経済協会は、職員1名のメールアカウントが第三者に不正利用され、意図しないメール送信が行われたことを明らかにしました。
CVE番号:なし(アカウント侵害のため)
攻撃手口:パスワード窃取によるなりすましアクセス
2026年6月3日11時頃、当該アカウントから第三者によるメール送信が開始。同協会がアクセスをブロックした11時50分頃までに、合計 565件のメールが不正送信 されました。送信先は、同協会と過去にやり取りのあったメールアドレスに限られており、攻撃者がメールボックス内の連絡先を悪用したことが示唆されます。
メール送信に加えて、アクセス期間中にメールボックス内のメールが閲覧され、情報が取得された可能性があることも同時に公表されています。
パスワードのみによる認証(シングルファクター認証)では、パスワードが一度流出・窃取されると攻撃者が正規のユーザーと区別なくログインできてしまいます。多要素認証(MFA)が未設定の場合、こうした侵害が発生しやすい状態にあることを改めて示した事例です。
2. 影響範囲:確認された被害
今回確認されている被害は以下の2点です。
| 被害の種類 | 詳細 |
|---|---|
| スパムメールの不正送信 | 職員1名のメールアカウントから565件のメールが第三者によって送信 |
| メール内容の閲覧・情報取得の可能性 | アカウントへの不正アクセス期間中にメールボックス内のメールが閲覧され、情報が取得された可能性あり |
個人情報の流出:メール内容に含まれる情報が第三者に取得された可能性あり。個人情報保護委員会への報告済み
金融情報:公式発表に記載なし
送信先は過去にやり取りのあった相手のため、受信者が正規のメールと誤認してフィッシングリンクや悪意ある添付ファイルを開くリスクがあります。被害を受けた組織の取引先・関係者も、二次被害への注意が必要です。
3. インシデントのタイムライン
| 日付・時刻 | 出来事 |
|---|---|
| 2026年6月3日 11:00頃 | 職員1名のメールアカウントから第三者によるメール送信が開始 |
| 2026年6月3日 11:50頃 | 同協会がアクセスをブロック。この時点までに565件のメールが不正送信 |
| 2026年6月3日以降 | 個人情報保護委員会への報告を実施 |
| 2026年6月19日 | Security NEXT にて報道 |
| 2026年6月22日 | 本記事公開 |
4. 対応状況
日中経済協会は不正アクセス判明後、以下の対応を実施しています。
- アクセスブロック — 不正アクセスを検知後、当該メールアカウントへのアクセスを遮断
- 関係者への報告・謝罪・注意喚起 — 不正送信を受けた関係者に対して経緯を説明し、謝罪と注意喚起を実施
- 個人情報保護委員会への報告 — 個人情報が含まれる可能性を踏まえ、所管官庁への届出を完了
公表時点でランサムウェア感染や金融被害などの二次被害は報告されていません。
5. 推奨対応手順
【最優先】多要素認証(MFA)の設定状況を確認する
すべてのメールアカウントに MFA が有効か確認する
Microsoft 365・Google Workspace・その他メールサービスを問わず、全ユーザーの MFA 設定状況を管理画面から確認してください。特に一般職員・外出先からアクセスするユーザーのアカウントを重点的に確認します。MFA 未設定のアカウントに即時設定する
Microsoft 365 の場合、「セキュリティの既定値群」を有効化するか、条件付きアクセスポリシーで MFA を強制してください。Google Workspace の場合は管理コンソール → セキュリティ → 2段階認証の適用から設定できます。レガシー認証プロトコルをブロックする
POP3・IMAP・SMTP などのレガシー認証プロトコルは MFA をバイパスできるため、条件付きアクセスまたは管理ポリシーでブロックしてください。
【パスワード管理】強力なパスワードポリシーを徹底する
全職員のパスワードを棚卸しする
「パスワードを複数サービスで使い回していないか」「簡単に推測できるパスワードを使っていないか」を確認し、必要に応じてリセットを実施してください。パスワードマネージャーの導入を検討する
長く複雑なパスワードを安全に管理するため、パスワードマネージャー(Bitwarden・1Password・LastPass 等)の組織導入を推奨します。
【不審メール対策】受信した関係者への注意喚起
不正送信メールを受け取った可能性のある相手に注意喚起する
今回のように、過去にやり取りのある相手に対して正規メールを装ったスパムが届くケースでは、受信者がリンクや添付ファイルを開くリスクがあります。心当たりのある送信先の取引先・関係者に対して迅速に警告メールを送付してください。メール送受信ログを確認する
メールサーバーまたはクラウドメールサービスの管理画面から、不審な時間帯・IPアドレスからのログイン履歴や送受信ログを確認してください。
6. まとめ・YJK からのコメント
今回の事案は、パスワード単体認証の脆弱性を突いた典型的なアカウント乗っ取り事例です。攻撃者は窃取したパスワードを使って正規ユーザーになりすまし、メールアカウントをスパム送信の踏み台として悪用しました。さらにメールボックス内の情報が閲覧された可能性があり、メールに含まれる個人情報・機密情報が漏えいするリスクも生じています。
こうした攻撃に対して最も効果的な対策は多要素認証(MFA)の全面導入です。パスワードが流出・窃取されたとしても、MFA が有効であれば第二の認証要素がなければログインできないため、不正アクセスを大幅に困難にすることができます。
以下の組織は特に優先して対応してください:
- 全職員のメールアカウントに MFA が設定されていない組織
- パスワードの使い回しや簡易なパスワードを許容しているポリシーの組織
- レガシー認証プロトコル(POP3・IMAP)を無効化していない組織
YJK では、Microsoft 365・Google Workspace の MFA 設定診断・セキュリティポリシー見直し支援を承っております。メールアカウントのセキュリティ強化についてお気軽にご相談ください。
出典
- 日中経済協会 公式サイト: 公益社団法人 日中経済協会