株式会社スペースは2026年6月29日、同社社員1名のメールアカウントが第三者により不正アクセスされ、当該アカウントからフィッシングメールが送信される事案が発生したと発表しました。
同社によると、2026年6月9日に社員が取引先を装ったフィッシングメールを受信し、メール内リンク先の偽サイトでメールアカウントの認証情報を入力したことが原因です。その後、第三者による不正アクセスが発生し、2026年6月15日に当該アカウントから取引先を含む複数の宛先へフィッシングメールが送信されたことを確認しています。
現時点で、同社システム内の情報漏えいや、本件に起因する不正利用などの二次被害は確認されていないとしています。
サマリー
- 株式会社スペースで、社員1名のメールアカウントが不正アクセス被害
- 原因は、取引先を装ったフィッシングメールから偽サイトへ誘導され、メールアドレスとパスワードを入力したこと
- 不正アクセス後、当該アカウントから取引先を含む複数宛先へフィッシングメールを送信
- フィッシングメールの送信先は2,329件
- 同社システム内の情報漏えいや二次被害は、現時点で確認されていない
- 同社は対象アカウントの無効化、パスワード変更、外部サービス停止、関係先への注意喚起を実施
- 2026年6月17日には端末のフォレンジック調査と個人情報保護委員会への必要な報告を実施
- 全社でメールアカウントの多要素認証、MFAを導入し、全社員のパスワードリセットも実施済み
概要
今回の事案は、社員が受信したフィッシングメールを起点に、メールアカウントの認証情報が第三者に把握され、そのアカウントがフィッシングメール送信に悪用されたものです。
2026年6月9日、株式会社スペースの社員が取引先を装ったフィッシングメールを受信しました。当該社員はメールに記載されたリンク先の偽サイトで、メールアカウントの認証情報であるメールアドレスとパスワードを入力しました。
その後、第三者が当該認証情報を使ってメールアカウントへ不正アクセスし、2026年6月15日に取引先を含む複数の宛先へフィッシングメールを送信したことが確認されています。
フィッシングメールの送信先は、宛先総数で2,329件です。
原因
株式会社スペースは、本件の原因について、フィッシングメールにより誘導された偽サイトで、社員がメールアカウントの認証情報を入力したことだと説明しています。
入力された情報は、メールアドレスおよびパスワードです。これにより、第三者が当該認証情報を把握し、対象アカウントを不正に利用しました。
現時点で、マルウェア感染や社内システムの脆弱性悪用が原因だったとは説明されていません。リリース上では、フィッシングによる認証情報窃取が直接の原因として示されています。
影響範囲
株式会社スペースが確認している影響範囲は、当該アカウントから送信されたフィッシングメールの送信先2,329件です。
同社システム内の情報漏えいは、現時点で確認されていません。また、本件に起因する二次被害も確認されていないとしています。
ただし、フィッシングメールがすでに外部へ送信されているため、受信者側ではメール本文中のリンクや添付ファイルに注意が必要です。正規の社員アカウントから届いたように見えるメールであっても、今回の不正利用期間中に送信された不審なメールは信用せず、リンクへのアクセスや認証情報の入力を避ける必要があります。
会社側の対応
株式会社スペースは、2026年6月15日に対象アカウントの無効化およびパスワード変更を実施しました。
あわせて、不正に利用された外部サービスの停止、当該アカウントからフィッシングメールが配信された関係先への注意喚起、当該メールアドレスの変更も実施しています。
2026年6月17日には、端末のフォレンジック調査を実施し、個人情報保護委員会への必要な報告も行っています。
また、実施済みの対策として、メールアカウントにおける多要素認証、MFAの全社導入と、全社員のパスワードリセットを挙げています。今後は、セキュリティ意識向上のための全社員研修、不審メール対策および監視体制の強化も予定しています。
受信者が注意すべきポイント
株式会社スペースは、本件に関連して、すでに送信された不審なメール、または同社社員を装った不審なメールを受信した場合、添付ファイルの開封や本文中のリンクへのアクセス、認証情報の入力を行わず、速やかに削除するよう呼びかけています。
取引先を装ったフィッシングメールは、過去のやり取りや実在する担当者名を悪用することで、本物に見える場合があります。メールの送信元表示だけで判断せず、本文中のURL、添付ファイル、ログイン要求、パスワード入力要求、認証コード入力要求を確認してください。
すでにリンク先でメールアドレスやパスワードを入力してしまった場合は、ただちにパスワードを変更し、同じパスワードを使用している他サービスも変更する必要があります。可能であれば多要素認証を有効化し、メールアカウントのログイン履歴、転送設定、委任設定、連携アプリの有無も確認してください。
情報システム部門が確認すべきポイント
本件は、1名のメールアカウント侵害が、取引先を含む外部宛のフィッシングメール送信へつながった事案です。
情報システム部門では、まずメールアカウントへの多要素認証が全社で有効化されているかを確認してください。特に、Microsoft 365、Google Workspace、クラウドメール、グループウェアでは、IDとパスワードだけの認証が残っているアカウントが攻撃対象になりやすくなります。
次に、フィッシング被害を受けた場合の初動手順を整備する必要があります。対象アカウントの無効化、パスワード変更、全セッションの失効、転送ルール確認、外部アプリ連携の解除、送信済みメールの確認、受信者への注意喚起、端末調査、個人情報保護委員会への報告要否判断までを手順化しておくことが重要です。
また、メールアカウントが侵害された場合、攻撃者が不正な転送設定や受信トレイルールを作成していることがあります。パスワード変更だけでは不十分な場合があるため、メールボックス設定全体を確認してください。
関連記事
じほうグループ、クラウドメールに不正アクセスされフィッシングメールを送信される
国立医薬品食品衛生研究所、フィッシングメール起点の不正アクセスで約7万件の迷惑メール送信の踏み台に
明治薬科大学 Microsoft365のアカウントへ不正アクセスが発生 外部へフィッシングメールを送信される
東京外国語大学がメールアカウントの不正アクセスによりフィッシングメール 送信に悪用される
出典
株式会社スペース:不正アクセスによるフィッシングメール送信に関するお詫びとご報告
セキュリティ対策Lab:じほうグループ、クラウドメールに不正アクセスされフィッシングメールを送信される
セキュリティ対策Lab:国立医薬品食品衛生研究所、フィッシングメール起点の不正アクセスで約7万件の迷惑メール送信の踏み台に
セキュリティ対策Lab:明治薬科大学 Microsoft365のアカウントへ不正アクセスが発生 外部へフィッシングメールを送信される








