セキュリティ情報漏洩のニュースサイトセキュリティ対策Labの運営とBtoB マーケティングコンサル支援|合同会社ロケットボーイズ

2026年4月22日、循環型社会の実現に向けたリユース・リサイクル事業を展開する株式会社ECOMMIT（エコミット、鹿児島県薩摩川内市、代表取締役CEO：川野輝之）は、4月21日に同社従業員1名のメールアカウントが第三者により不正アクセスを受け、当該アカウントからフィッシングを目的とすると思われる不審なメールが送信された事実を確認したとして公表しました。 あわせて、当該従業員が過去に送受信したメールアドレス等の個人情報や添付ファイルに含まれる情報が漏洩した可能性があることも確認されています。 この記事のサマリー 2026年4月21日、ECOMMIT従業員1名のメールアカウントが第三者により**不正アクセス（不正ログイン）**を受け、当該アカウントからフィッシング目的とみられる不審なメールが送信されました。 漏洩した可能性がある情報は、当該アカウントと送受信していたメールアドレス・氏名・一部メール本文・添付ファイルの情報です。 根本原因は当該アカウントへの多要素認証（MFA）が未設定だったことです。 対応として、当日中に通信の遮断・隔離とパスワード変更を実施。4月22日時点で全従業員へのパスワード即時変更の義務付けと、MFAの強制適用を完了しています。 今後の調査結果に応じて、影響の可能性が認められる方へ個別に連絡するとしています。 事案の概要と対応経緯 日時 内容 2026年4月21日 従業員1名のメールアカウントに第三者が不正ログイン。フィッシング目的とみられる不審なメールが送信される 同日中 ECOMMITが事象を把握。当該メールアカウントの通信遮断・隔離、パスワード変更を実施。不審メールが送信されたアドレス宛に注意喚起を送信 2026年4月22日 全従業員を対象としたパスワードの即時変更を義務付け。全従業員へのMFA強制適用を実施。公式サイトで事案を公表 漏洩した可能性のある情報 項目 内容 対象 当該アカウントと過去に送受信をしていた関係者 漏洩可能性のある情報 メールアドレス、氏名、一部メール本文、添付ファイルに含まれる情報 漏洩情報の件数・具体的な対象者数については、現時点で特定が完了しておらず調査継続中です。 原因と対策——MFA未設定という「基本的な防線の欠如」 同社はリリースで原因を明確に認めています。「第三者による不正アクセス（ログイン）に対して、当該アカウントが多要素認証（MFA）が未設定であったことが今回の原因となります」。 MFAは、パスワードに加えてSMSや認証アプリ等による二段階の認証を要求することで、パスワードが漏洩・推測されても不正ログインを防げる現代のセキュリティ対策における最低限の基本手段です。クレデンシャルスタッフィング攻撃（他サービスから流出したID・パスワードを使い回して他サービスへのログインを試みる攻撃）や、フィッシング等で窃取したパスワードによる不正ログインを防ぐ上で、MFAの適用有無が実質的に被害発生の分水嶺となることが多くのインシデント事例から明らかになっています。 同社は本件発覚後、全従業員へのMFA強制適用を即日完了させており、再発防止への対応スピードは迅速です。一方で、事案発生前の時点でメール等の全アカウントへのMFA適用が徹底されていなかったことは、組織全体の情報セキュリティポリシーの見直しが必要であることを示しています。 株式会社ECOMMIT（エコミット）について 株式会社ECOMMITは「捨てない社会をかなえる」をビジョンに掲げ、2007年に鹿児島県で創業した「地球にコミットする循環商社」です。不要品の回収・選別・再流通をワンストップで行う事業を展開しており、建設機械・農業機械から電化製品・衣類・家具まで多品目にわたる回収システムを国内外に構築しています。 資源循環サービス「PASSTO（パスト）」を通じた自治体・企業向けの不要品回収のほか、伊藤忠商事との業務提携による繊維製品回収サービス「Wear to Fashion」、メルカリとの資本業務提携など、国内大手企業との連携を積極的に進めているスタートアップです。全国7拠点の循環センターを自社運営し、日本郵政キャピタルからの出資も受けています。 情シス・セキュリティ担当者へのポイント 本件の最大の教訓は「MFAの適用漏れが1アカウントでもあれば、そこが侵入口になる」という点です。 組織全体でMFAを義務化していても、例外的に未設定のアカウントが存在することがあります。特に退職者・異動者・長期未使用アカウント・外部サービスとの連携用アカウントなどが盲点になりやすく、定期的な棚卸しと適用状況の確認が不可欠です。 また、アカウントが乗っ取られた際に「フィッシングメールの踏み台として利用される」パターンは本件のような手口の典型です。受信者の視点では送信元が「知人・取引先からのメール」として届くため、通常のフィッシングより信頼性が高く見えてしまいます。同社から受信した不審なメールに対してリンクのクリックや添付ファイルの開封を行わないよう注意が必要です。 よくある質問（FAQ） Q. 不審なメールを受け取った場合どうすればいいですか？ ECOMMITから4月21日前後に届いたメールで、心当たりのない添付ファイルやURLへの誘導が含まれている場合は、クリック・開封を行わず、security-alert@ecommit.jp（ECOMMIT セキュリティ対策事務局）へ連絡することが推奨されます。 Q. 自分の情報が漏洩したかどうか確認できますか？ 現時点では影響範囲の特定に向けた調査が継続中です。ECOMMITは「影響の可能性が認められる方へ個別に連絡する」としており、連絡が届いた場合は内容に従って対応してください。不明点は問い合わせ窓口（security-alert@ecommit.jp）へ問い合わせることができます。 Q. なぜMFAが未設定のアカウントが存在したのですか？ リリースでは組織的な背景は明示されていません。ただし中小・スタートアップ企業では全アカウントへの一斉適用が後回しになるケースは珍しくなく、同社は本件を機に全従業員へのMFA強制適用を即日完了させています。 参考情報 当社従業員メールアカウントへの不正アクセスに伴う個人情報等の漏えい可能性に関するお詫びとお知らせ（株式会社ECOMMIT、2026年4月22日） 本件お問い合わせ：security-alert@ecommit.jp（株式会社ECOMMIT セキュリティ対策事務局） 【関連記事】不正アクセスとは——定義・件数・手口・目的・防止策を専門家が解説【2026年最新】

ブログ