つくるAI株式会社は、同社サービス「VCプロ」の送信基盤として利用していたAWSアカウントが第三者に不正アクセスされ、Amazon SES(Simple Email Service)が不正操作された結果、大量のスパムメールが送信されたと公表しました。調査の結果、同インシデントに伴う「お客様の個人情報等」や「物件情報等」の漏えいは発生していないことを確認したとして、調査完了の報告を行っています。
概要
同社によると、2026年2月23日未明に外部の第三者が同社管理システムへ侵入したことが判明しました。攻撃者は「不正に入手したと思われる認証情報」を用いてAWSのメール送信サービス(Amazon SES)を操作し、主にフランス語圏のユーザーを対象に、フィッシングメール等の可能性があるスパムを大量送信したと説明しています。
発生時期と規模
-
発生時期:2026年2月23日
-
不正送信件数:約176,000件
-
送信先:主にフランス語圏の個人メールアドレス
スパム送信の規模が明記されている点から、侵害の目的が「データ窃取」よりも「メール送信基盤の悪用(スパム/フィッシングの踏み台化)」にあった可能性が示唆されます。
原因
同社は侵入の直接要因として、攻撃者が「不正に入手したと思われる認証情報」を使用したと説明しています。つまり、AWSアカウントへのアクセスキー/パスワード等が何らかの形で漏えい、または推測・再利用などにより突破され、SES操作に至った構図です。
なお、リリース本文では認証情報の流出経路(フィッシング、情報窃取マルウェア、Git等への誤公開、パスワード使い回し、外部委託先経由など)までは明示されていません。
顧客への影響
外部事業者と連携してアクセスログを調査した結果として、同社は以下を明言しています。
-
当該事象発生以降、第三者による同社データベースへのアクセスや、個人情報・物件情報を含む一切の情報漏えいは「ない」ことを確認
-
影響範囲は「VCプロ」に限定
-
「デベNAVI」を含む同社グループの他サービス利用者への影響はない
ここで重要なのは、「メール送信基盤(SES)を置いたAWSアカウント」が侵害された一方で、同社はDB等のコアデータに対する不正アクセスや持ち出しは確認されていない、という整理をしている点です。
不審メールへの注意喚起
同社は、以下の送信元を装った不審メールを受信した場合の注意を呼びかけています。
-
関連ドメイン:bukurou.jp
-
関連メールアドレス:[email protected]
金融機関や配送業者等をかたるフィッシングの可能性があるとして、リンククリック、添付ファイル開封、個人情報入力をしないよう注意喚起しています。
関連記事
ロシア系ハッカーが世界中のBlender ユーザーを標的としたサイバー攻撃 キャンペーンを展開
7-Zipの脆弱性がゼロデイ攻撃に悪用されている(CVE-2025-0411)
93.7億件のクッキー(Cookie)がダークウェブに流出-「ただの同意」が大きなリスクに変わるとき
VSCodeに偽の拡張機能 prettier-vscode-plus-「Prettier – Code formatter」に偽装
多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA
鹿児島県立短期大学、教員メールアカウントで迷惑メール 大量送信-メールアカウントへの不正アクセスか
西濃運輸、8月の不正アクセスで「見つカル倉庫」「マイセイノー」から個人情報漏洩の恐れ
SES システム開発業のサンネット株式会社が問い合わせフォームに入力した情報の一部が漏洩した可能性
SES システム開発業のサンネット株式会社、3月のインシデントで約2600件の情報漏洩の可能性
