SaveExpats、外部メール配信サービスのAPIキー不正利用で約14万件のフィッシングメールを送信

セキュリティニュース

投稿日時: 更新日時:

SaveExpats、外部メール配信サービスのAPIキー不正利用で約14万件のフィッシングメールを送信

株式会社SaveExpatsは2026年3月9日、同社が利用する外部メール配信サービスにおいてAPIキーが第三者に不正取得され、同社の意図しないメール(フィッシングメール)が大量に送信されていたと公表しました。不正送信は3月5日から7日にかけて発生し、件数は約14万件に上ります。送信されたメールは、受信者を不正なウェブサイトへ誘導し、個人情報の入力を促すフィッシング詐欺目的の内容だったとしています。

概要

同社によると、3月8日に外部メール配信サービス事業者から異常な送信量に関する通知を受け、調査を進めた結果、APIキーの不正利用を確認しました。問題となったのはメール配信の認証に使うAPIキーで、これを使われたことで第三者が同社名義のメールを不正送信できる状態になっていたとみられます。

一方で、現時点では当社サーバーへの侵入痕跡や、同社が保有する個人情報が閲覧または取得された事実は確認されていないとしています。つまり、今回の被害の中心は情報漏えいそのものではなく、認証情報の不正利用を通じたフィッシングメール配信にあります。

原因

現時点の調査では、外部メール配信サービスで使用していたAPIキーが外部に流出し、それを第三者が不正利用した可能性が高いと説明しています。ただし、APIキーがどの経路で漏えいしたのか、またどのような方法で悪用されたのかについては、引き続き調査中です。

影響範囲

不正送信の件数は約14万件とされており、受信者に対して迷惑や被害のおそれを生じさせた可能性があります。同社は、これらのメールを一切送信しておらず、自社の送信元情報が悪用されたものだと強調しています。

現時点では、顧客情報が外部に送信された事実は確認されていませんが、受信者側では実在企業からの案内と誤認し、不正サイトで情報を入力してしまうリスクがあります。

受信者への注意喚起

同社は、期間中にSaveExpatsを名乗るメールを受け取った可能性がある人に対し、不審なメール内のリンクをクリックしないこと、添付ファイルを開かないこと、返信しないこと、真偽が不明なメールは破棄することを呼びかけています。また、同社がメールで個人情報の入力を求めることはないと明言しています。