概要
空調・塗装設備工事を手がける大気社株式会社は、インドネシアのグループ会社「Taikisha Indonesia Engineering」において、従業員1人のメールアカウントが第三者に不正アクセスされたことを2026年6月10日に公式発表しました。不正アクセスは2026年3月17日に確認され、その後4月24日にはそのアカウントから不審なメールがインドネシア国内の一部宛先へ送信されていることも判明しています。現在、同社は原因と影響範囲の特定に向けて調査を継続しています。
目次
1. 何が起きたか
大気社株式会社(本社:東京都、東証プライム上場)は、空調設備工事・塗装システム事業を国内外で展開する設備工事会社です。インドネシアを含むアジア太平洋地域にも複数のグループ会社を持ちます。
2026年3月17日、インドネシアのグループ会社「Taikisha Indonesia Engineering」において、従業員1人のメールアカウントへの不正アクセスが確認されました。その後の調査で、4月24日には被害を受けたアカウントからインドネシア国内の一部宛先へ不審なメールが送信されていたことも判明。同社は2026年6月10日に公式サイトでこの件を公表しました。
タイムライン
| 日時 | 出来事 |
|---|---|
| 2026年3月17日 | Taikisha Indonesia Engineering の従業員メールアカウントへの不正アクセスを確認 |
| 2026年4月24日 | 被害アカウントからインドネシア国内の一部宛先に不審なメールが送信されたことを確認 |
| 2026年6月10日 | 大気社が公式サイトにてインシデントを公表 |
| 調査継続中 | 原因・影響範囲の特定に向け調査中 |
2. インシデントの詳細
| 項目 | 内容 |
|---|---|
| 被害企業 | Taikisha Indonesia Engineering(大気社のインドネシアグループ会社) |
| 不正アクセス確認日 | 2026年3月17日 |
| 不審メール送信確認日 | 2026年4月24日 |
| 公式発表日 | 2026年6月10日 |
| 被害対象 | 従業員1人のメールアカウント |
| 被害内容 | メールアカウントへの不正アクセス・不審メールの送信 |
| 不審メールの送信先 | インドネシア国内の一部宛先(件数・個人情報の有無は調査中) |
| 侵入経路 | 調査中 |
| CVE番号 | 該当なし(インシデント案件) |
現時点では侵入経路の特定には至っておらず、外部専門家と連携して詳細な調査を継続しています。
3. 被害・影響の詳細
現時点で判明している被害・影響は以下のとおりです。
- メールアカウントの侵害: Taikisha Indonesia Engineering の従業員1人のアカウントが不正アクセスを受けた
- 不審メールの送信: 侵害されたアカウントから、インドネシア国内の一部宛先へ不審なメールが送信された(2026年4月24日確認)
- 個人情報・機密情報の流出: 調査中(流出の有無は未確認)
- 業務への影響: 現時点で重大な業務障害の報告はなし
注意喚起: 大気社グループ関係者を名乗るメールを受信した場合は、記載されているURLや添付ファイルを開かずに削除するよう同社は求めています。
4. 発覚の経緯
2026年3月17日、Taikisha Indonesia Engineering において、従業員1人のメールアカウントへの不正アクセスが確認されました。この時点で調査を開始しましたが、4月24日には被害アカウントが実際に不審なメールの送信に悪用されたことが確認され、インシデントの深刻度が高まりました。
その後、同社は原因と影響範囲の特定に向けた調査を継続し、2026年6月10日に公式サイトにてインシデントを公表しています。
不正アクセスの確認(3月17日)から公式発表(6月10日)まで約3ヶ月を要しており、調査の複雑さや海外拠点であることによる対応の遅れが示唆されます。
5. 原因と問題点
公式発表では侵入経路は「調査中」とされており、詳細な原因は明らかにされていません。ただし、メールアカウントへの不正アクセスという観点から、一般的に以下の原因が考えられます。
想定される侵入経路
クレデンシャルスタッフィング(認証情報の使い回し)
他サービスから漏洩したID・パスワードを使い回して不正ログインされるケースです。海外拠点ではパスワード管理が本社ほど厳格でない場合があります。フィッシングによる認証情報の窃取
フィッシングメールへの誤クリックにより、メールの認証情報が攻撃者に渡ったケースです。MFA(多要素認証)の未導入・不備
メールアカウントに MFA が設定されていなかった場合、パスワード1つで不正アクセスが可能になります。
本事案の問題点
- 海外グループ会社のセキュリティ管理の格差: 本社と海外子会社の間でセキュリティポリシーの適用・運用に差がある場合、海外拠点が侵入口となるリスクが高まります。
- 検知から対外公表までの期間: 不正アクセス確認(3月17日)から公表(6月10日)まで約3ヶ月を要しており、ステークホルダーへの通知が遅れた可能性があります。
- 不審メール送信による被害拡大: 侵害されたアカウントが実際に悪用されており、二次被害のリスクが現実化しています。
6. 再発防止策と組織への教訓
今回の大気社インドネシア子会社のインシデントは、「海外グループ会社のメールアカウント」という、多くの企業が見落としがちな領域の脆弱性を示しています。情報システム担当者が今すぐ確認すべきポイントを整理します。
① 海外・グループ会社を含めた MFA の適用状況を確認する
メールアカウントへの不正アクセスを防ぐ最も有効な対策は多要素認証(MFA)の導入です。本社だけでなく、海外グループ会社・子会社のメールシステムにも MFA が適用されているか確認してください。
確認ポイント: – Microsoft 365 / Google Workspace などのクラウドメールで MFA が有効になっているか – 海外拠点のアカウントも同じポリシーが適用されているか(条件付きアクセスポリシーの範囲を確認) – MFA を回避できる「レガシー認証プロトコル(SMTP AUTH・POP・IMAP)」が無効化されているか
② パスワードポリシーとクレデンシャルの健全性を確認する
- 海外グループ会社のパスワードポリシーが本社と同等か確認
- HaveIBeenPwned などで既知の漏洩データベースに自社のメールアドレスが含まれていないか確認
- 定期的なパスワードリセットの実施よりも、強力なパスワード+MFAの組み合わせを優先
③ メール送信ログ・ログイン監査ログの監視体制を整備する
- 不審なメール一斉送信や、通常と異なる国・IPアドレスからのログインを検知できる体制があるか確認
- Microsoft 365 の場合: Entra ID のサインインログ・Exchange のメッセージトレースを定期的に確認
- 異常なメール転送ルールが自動設定されていないか確認(Business Email Compromise の典型手口)
④ インシデント対応計画に「海外拠点」を含める
- 海外グループ会社でインシデントが発生した場合の連絡フロー・エスカレーションルートが整備されているか
- 今回のように海外で不審なメールが送信された際、日本側の情シスがどこで情報をキャッチし、どう対応するかのシナリオを事前に策定する
⑤ BEC(ビジネスメール詐欺)対策を強化する
侵害されたメールアカウントが取引先への詐欺メール(振込先変更の依頼など)に悪用されるケース(BEC)は、金銭的損失が最も大きいサイバー犯罪の一つです。
- 請求書・振込先変更の依頼が届いた際、メール以外の手段(電話)での確認を徹底
- SPF・DKIM・DMARC の設定が正しく行われているか確認(なりすましメールの送受信を防止)
7. まとめ・YJKからのコメント
今回の大気社インドネシア子会社のメール不正アクセス事案は、グローバルに拠点を持つ企業が抱える「海外子会社のセキュリティ管理格差」という課題を浮き彫りにしています。
本社が厳格なセキュリティポリシーを設けていても、海外グループ会社・子会社に同等の管理が行き届いていない場合、攻撃者はその隙を突いてきます。特にメールアカウントはビジネスの中核インフラであり、一度侵害されると取引先への詐欺メール送信や内部情報の搾取など、深刻な二次被害につながります。
一人情シス・情シス担当者の方々にとって、海外グループ会社まで含めたセキュリティ管理の徹底は現実的に困難なケースもあります。しかし、少なくとも「MFAの全社適用」と「ログ監視の仕組み作り」は、海外拠点も含めて最優先で取り組むべき施策です。Microsoft 365 や Google Workspace を利用している場合、条件付きアクセスポリシーや Alert ルールを活用することで、追加コストを抑えながらこれらの対策を実装できます。