東証スタンダード上場の株式会社ファブリカホールディングス(証券コード:4193)は2026年7月14日、連結子会社の株式会社メディア4uが提供するSMS送信システムにおいて第三者によるサイバー攻撃(不正アクセス)を受け、システムの管理コンソールに登録された情報の一部が外部に漏洩したこと、および同システムを通じて不正なSMS送信が行われたことが判明したと公表しました。
サマリー
- ファブリカホールディングスは2026年7月14日、連結子会社メディア4uが提供するSMS送信システムへの不正アクセスと、それに伴う情報漏洩・不正SMS送信について公表した
- 不正アクセスは2026年6月24日に確認され、確認後直ちに遮断措置とログ保全を行い、外部専門機関と連携して侵入経路の特定・影響範囲の確定・原因究明を進めてきたとしている
- 外部に漏洩したことが確認されている情報は、SMS送信システムの管理コンソールに係るアカウント管理情報の一覧ファイルで、アカウントID・ユーザー名・担当者名・都道府県/郵便番号・通知用メールアドレス等が含まれる
- 当該ファイルの総レコード数は95,412件で、このうち担当者名や個人を識別しうるメールアドレス等、個人情報に該当しうる情報を含む可能性があるレコードは22,928件
- パスワード、パスワードハッシュ、APIキー、認証トークン、決済・請求に関する情報は含まれていない
- 不正アクセスにより、第三者が本システムを通じて不正にSMSを送信した事実も確認されており、現時点で確認されている不正送信件数は280件。送信内容・送信元アカウント・受信者への影響については調査中
- 予防的措置として全顧客アカウントの認証情報リセット・パスワード再設定を実施済み。関係する監督官庁・第三者機関への報告も行うとしている
- 業績への影響は現在精査中
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年7月14日 |
| 発表主体 | 株式会社ファブリカホールディングス(証券コード4193、東証スタンダード) |
| 被害を受けたシステム | 連結子会社・株式会社メディア4uのSMS送信システム |
| 不正アクセス確認日 | 2026年6月24日 |
| 漏洩情報 | 管理コンソールのアカウント管理情報一覧(アカウントID・ユーザー名・担当者名・都道府県/郵便番号・通知用メールアドレス等) |
| 総レコード数 | 95,412件 |
| 個人情報該当の可能性があるレコード数 | 22,928件 |
| 含まれない情報 | パスワード、パスワードハッシュ、APIキー、認証トークン、決済・請求情報 |
| 不正SMS送信件数 | 280件(内容・影響は調査中) |
| 実施済みの措置 | 侵入経路の遮断、全顧客アカウントの認証情報リセット、監督官庁等への報告 |
何が起きたか
ファブリカホールディングスの発表によれば、2026年6月24日、連結子会社メディア4uが提供するSMS送信システムに対する外部からのサイバー攻撃(不正アクセス)が確認されました。確認後直ちに、当該不正アクセスの遮断およびログの保全を行うとともに、外部の専門機関と連携し、侵入経路の特定、影響範囲の確定、原因究明を進めてきたとしています。事実関係の確認・影響範囲の精査に一定の期間を要したため、発生確認から約3週間後の7月14日の公表に至ったとしています。
調査の結果、外部に漏洩したことが確認されている情報は、SMS送信システムの管理コンソールに係るアカウント管理情報の一覧ファイルです。主な項目はアカウントID、ユーザー名、担当者名、都道府県・郵便番号、通知用メールアドレス等で、総レコード数は95,412件にのぼります。このうち、担当者名や個人を識別しうるメールアドレス等、個人情報に該当しうる情報を含む可能性があるレコードとして精査された件数は22,928件です。同社はこれらの件数についてアカウント管理上のレコード数または精査対象件数であり、対象となる本人の数とは一致しない場合があると注記しています。パスワード、パスワードハッシュ、APIキー、認証トークン、決済・請求に関する情報は当該一覧ファイルには含まれていないとしています。
不正SMS送信の発生-B2Bインフラ事業者特有のリスク
今回の事案で特に注目すべきは、情報漏洩にとどまらず、この不正アクセスにより第三者が本システムを通じて実際に不正なSMSを送信した事実が確認されている点です。現時点で確認されている不正送信の件数は280件で、送信の内容、送信元として使用されたアカウント、受信した人への影響については現在調査が進められています。同社は本件に関連すると思われる不審なSMS・メール・電話等への注意を呼びかけています。
SMS送信システムは、事業者が自社の顧客に向けて通知・認証コード・キャンペーン案内等を送るために利用するB2Bインフラです。このような配信基盤が侵害されると、単に管理者側の情報が漏洩するだけでなく、攻撃者がそのプラットフォームの「送信力」自体を悪用し、正規の事業者になりすました形でエンドユーザーへ不審なSMS(スミッシング)を送りつけるという、二次的な被害の起点になりうる点が特徴です。
実際にどのような内容のSMSが誰に向けて送信されたかは本稿執筆時点で明らかにされていませんが、こうしたインフラ型サービスの侵害は、直接の契約者だけでなく、その先にいる一般消費者にまで被害が波及する可能性がある点で、通常の企業向けシステム侵害とは異なるリスク構造を持っています。
現在の対応状況と再発防止策
同社グループは本件判明後、直ちに対応体制を構築し、
(1)不正アクセスの侵入経路の特定および遮断、
(2)不正利用防止のための予防的措置として全顧客アカウントに係る認証情報のリセットおよびパスワード再設定等の安全措置、
(3)外部の専門機関と連携した調査・原因究明・再発防止策の検討、
(4)関係する監督官庁・第三者機関への報告、を進めています。
該当する顧客には個別に連絡のうえ必要な対応を案内するとしており、本件に関連すると思われる不審な連絡(メール・SMS・電話等)への注意と、心当たりのない連絡への非対応を呼びかけています。再発防止策としては、認証基盤の強化、多要素認証の導入、アクセス監視・検知体制の強化等を速やかに講じるとしており、具体的な施策は確定次第公表するとしています。業績への影響については現在精査中で、開示すべき事項が生じた場合には速やかに公表するとしています。
情報システム部門への示唆
今回の事案は、当サイトで以前紹介したKDDIのISP事業者向けメールシステムへの不正アクセスとも共通する構造を持っています。いずれも、エンドユーザーに直接見える立場ではなく、他社にインフラ機能(メール配信・SMS配信)を提供する「裏側」の事業者が侵害されることで、その先にある無数の利用者・受信者にまで影響が及ぶという点です。自組織がこうしたSMS配信・メール配信等のインフラサービスを業務で利用している場合、提供元でセキュリティインシデントが発生した際に、自社が送信元として偽装利用されるリスクや、自社の顧客リストが管理コンソール経由で外部に漏洩するリスクを踏まえ、委託先選定時にはインシデント発生時の通知体制・対応スピードについてもあらかじめ確認しておくことをお勧めします。
また、自組織がこうしたB2Bインフラサービスを提供する側である場合、今回のように管理コンソールへの不正アクセスが、直接の契約者情報の漏洩にとどまらず、プラットフォームの機能自体を悪用した不正送信という二次被害に発展しうる点を踏まえ、管理コンソールへのアクセスに対する多要素認証の徹底、送信量・送信先の異常検知の仕組み、そして侵害発生時に迅速に全顧客アカウントの認証情報をリセットできる体制を平時から整えておくことが重要です。今回同社が全顧客アカウントの認証情報を一律リセットするという踏み込んだ予防的措置を取った点は、被害拡大防止の観点から妥当な対応だと評価できます。








