株式会社ディライトフル(東京都江東区)が運営するメール配信システム「める配くん」のサーバーが第三者による不正アクセスを受け、同サービスを利用する多数の組織の個人情報が流出した可能性があることが2026年6月中旬以降に次々と明らかになりました。攻撃はシステムの脆弱性を突いた手口で、2026年6月15日から16日にかけて発生し、プリマハム株式会社・東書Eネット(東京書籍)・株式会社ユニリタ・Bizプリカ・KYOTO EXPERIMENT・佐渡トキファンクラブなど、業種・規模を問わず10社超の組織が影響を受けています。漏洩した可能性のある情報は主にメールアドレスで、クレジットカード情報・住所・電話番号などは当該システムには登録されていないとされています。
目次
サマリー
- 2026年6月15〜16日、メール配信SaaS「める配くん」(株式会社ディライトフル)のサーバーがシステムの脆弱性を突いた不正アクセスを受け、個人情報が窃取された可能性が高いと確認された
- 影響を受けた組織はプリマハム・東京書籍(東書Eネット)・ユニリタ・Bizプリカ・KYOTO EXPERIMENT・佐渡トキファンクラブ・電気技術者試験センター・ANDMAMACO・RAFIQほか10社超に及ぶ
- 漏洩した可能性がある情報は主にメールアドレス(一部は氏名・会社名・地域も含まれる)。クレジットカード情報・住所・電話番号などの決済・連絡先情報は当該システムには保管されていない
- ディライトフル社は攻撃経路の遮断と全サーバーへのアクセス停止の初期対応を完了し、外部専門家による調査を継続中。個人情報保護委員会・総務省への報告はディライトフル社が受託者として一括対応
- 今後、被害組織を装ったフィッシングメールが被害者のメールアドレス宛に送付されるリスクがあるため、心当たりのないメールのURLクリック・添付ファイル開封を避けることが必要
| 項目 | 内容 |
|---|---|
| 被害サービス | める配くん(メール配信システム) |
| 運営会社 | 株式会社ディライトフル(東京都江東区、代表取締役社長:稲葉高広) |
| 攻撃発生日 | 2026年6月15日(月)〜16日(火) |
| 攻撃手口 | システムの脆弱性を突いた第三者による不正アクセス |
| 現在の状況 | 攻撃経路遮断・全サーバーアクセス停止完了。外部専門機関による調査継続中 |
| 漏洩の可能性がある情報 | メールアドレス(主体)。一部組織では氏名・会社名・地域も対象 |
| 漏洩対象外の情報 | クレジットカード情報・住所・電話番号など(当該システムに未登録) |
| 監督官庁への報告 | 個人情報保護委員会・総務省(ディライトフル社が受託者として一括対応) |
| 問い合わせ先 | [email protected](平日10:00〜17:00) |
| 二次被害の確認 | 現時点ではなし(フィッシング被害は今後発生の可能性あり) |
システムの脆弱性を突いた不正アクセス—発覚から各組織への通知まで
ディライトフル社の公式発表によると、2026年6月15日(月)に同社がサーバーログを監視中に一部のサーバーへの異常なアクセスを検知し、即座に調査を実施した結果、第三者による不正アクセスと情報漏洩と考えられる痕跡が確認されました。同社は直ちにサーバーの停止と、不正アクセスの疑いがあるサーバーのネットワーク隔離を実施しています。
翌6月16日(火)には不正アクセス攻撃が発生し、サーバー内に保管されていた個人情報が窃取された可能性が高いことが確認されました。利用企業各社への通知は6月17日(水)以降、順次行われています。プリマハム株式会社は6月17日午後にディライトフル社から報告を受けたと公表しており、ユニリタは6月18日(木)に連絡を受けたとしています。
攻撃の具体的な手口については、システムの脆弱性を突いた攻撃であることが確認されています。現在は攻撃経路の遮断が完了しており、今後の侵害発生リスクは低い状態ですが、外部専門機関によるデータ流出範囲・侵入経路・被害規模の詳細な調査が継続されています。
影響を受けた組織と漏洩した可能性のある個人情報の範囲
複数の利用組織が6月19日から25日にかけて相次いで公表した内容を統合すると、業種・規模を問わず広範な組織が影響を受けたことがわかります。現時点で確認できる主な被害組織は以下の通りです。
プリマハム株式会社は、メールマガジン用の登録メールアドレスが対象になる可能性があると公表しました。ECサイト等に登録されているメールアドレスは対象外で、ホームページのメルマガ登録から入力されたアドレスのみが対象と説明しています。
株式会社ユニリタは、メール配信サービスを利用してメール配信をした顧客の会社名・名前・メールアドレスが対象になる可能性があると公表しました。
Bizプリカ(株式会社トモウェルペイ)は、BizプリカおよびBizプリカPLUSのサービスに関連する顧客および過去の問い合わせ・資料請求・名刺交換等による顧客の会社名・氏名・メールアドレスが対象になる可能性があると公表しています。
一般社団法人ANDMAMACOは、氏名・メールアドレス・地域(都道府県)が対象になる可能性があるとし、今後はメール配信システム事業者を変更する方針を示しています。
東書Eネット(東京書籍株式会社)は6月23日に、攻撃発生の報告を受けたことを公表しましたが、同時点では個人情報の漏洩は確認されていないとの報告を受けているとしています。
その他、電気技術者試験センター(elec.or.jp)・KYOTO EXPERIMENT・佐渡トキファンクラブ(佐渡市関連)・CenturyArks・NPO法人RAFIQ 難民との共生ネットワーク・eクリニック(NPO法人21世紀の医療医学を考える会)が影響を受けたとして公表を行っています。
いずれも漏洩した可能性がある情報はメールアドレスを中心としており、氏名が含まれる場合もあります。クレジットカード情報・住所・電話番号については、める配くんのシステムには登録されておらず、対象外であると各社が説明しています。
なぜ1つのSaaSへの攻撃が多数組織に波及するのか—SaaSサプライチェーンリスクの構造
今回の事案が示す最も重要な構造的問題は、1つのクラウドサービス(SaaS)が侵害されることで、そのサービスを利用する多数の組織が一括して被害を受けるというサプライチェーンリスクです。
各組織は自社のシステムを直接攻撃されたわけではありません。自社のセキュリティ対策がどれだけ優れていても、利用しているSaaSプロバイダーが侵害された場合、そのプロバイダーに預けていたデータは攻撃者の手に渡る可能性があります。
KDDIのメールシステムへの不正アクセスで最大1,422万件のメールアドレス・パスワードが漏洩した事案や新日本検定協会へのランサムウェア攻撃で損保6社が一斉に顧客情報漏洩を公表した事案が示すように、委託先・利用SaaSを介したサプライチェーン攻撃は国内外を問わず主要な攻撃経路の一つとなっています。
サーバーサイドエンジニアとして複数のSaaS製品の開発に携わっていた経験から言えば、メール配信システムのような「入口は多くても管理サーバーは集中する」設計のSaaSは、攻撃者にとって費用対効果の高い標的です。1つのサーバーを侵害するだけで、数十〜数百組織の顧客情報にアクセスできる可能性があるためです。
フィッシングメールへの悪用リスクも
各組織が共通して警告しているのが、今回の漏洩により、利用者のメールアドレス宛に被害を受けた組織を装ったフィッシングメールが送付されるリスクです。
攻撃者が「プリマハムからの重要なお知らせ」や「meter配くんを利用されているお客様へ」という件名で、本物そっくりのメールを送ることで、ユーザーをフィッシングサイトに誘導したり、マルウェアを含む添付ファイルを開かせようとする手口が想定されます。フィッシングメールの手口と事例で解説しているように、フィッシングメールは正規メールとの見た目の差異が小さく、URLを注意深く確認しない限り区別が難しいケースも多くあります。
また、今回の事案で漏洩したのはメールアドレスのみではなく、一部の組織では氏名・会社名も含まれます。氏名と会社名が揃った場合、攻撃者はより精度の高い標的型フィッシング(スピアフィッシング)を組み立てることができます。「〇〇様、先日のメールマガジンで案内したキャンペーンの件でご連絡いたします」という個人名入りの文面は、一般的なバルクフィッシングよりもはるかに騙されやすい形式です。
情報システム部門が取るべき委託先管理の見直し
今回の事案が情報システム部門に突きつける問いは「利用しているSaaSの中に、同様のリスクを抱えているものはないか」という点です。
まず自組織が利用しているメール配信・メルマガ配信サービスの棚卸しを行うことが第一歩です。「いつ申し込んだかよくわからない」「誰が管理しているか把握していない」というSaaSが存在する場合、それはシャドーITとして最も対処が困難なリスクとなります。
次に、各SaaSプロバイダーのセキュリティ体制の評価です。プロバイダーが脆弱性管理・侵入検知・インシデント対応計画を持っているかどうかを、SLAや情報セキュリティに関する開示資料(SOC2レポート・ISO27001認証など)で確認することが望ましい姿です。国内の中小SaaSプロバイダーはこうした認証を持っていないケースも多く、選定時の評価基準に組み込む必要があります。
また、SaaSプロバイダーに対して最小限のデータしか預けない設計(データミニマイゼーション)も重要です。今回のメール配信サービスのケースでは、システムの性質上メールアドレスは必須ですが、氏名・会社名・地域などの追加情報が必要かどうかは利用目的に照らして見直す価値があります。登録するデータが少ないほど、プロバイダーが侵害された際の影響範囲を限定できます。
インシデント発生時の迅速な把握と対応体制も整備しておく必要があります。自組織が利用しているSaaSがセキュリティ事故を起こした場合に、いつ・誰が・どのルートで情報を受け取り、どのような開示と利用者への通知を行うかを事前にフローとして整備しておくことで、今回のような事案が発生した際の対応速度が大きく変わります。
出典
- 一部サーバーへの第三者による不正アクセスによるシステム障害及び情報漏洩についてのお知らせ – 株式会社ディライトフル(める配くん)
- メール配信システムへの不正アクセスによるメールアドレス漏えいの可能性に関するお詫びとご報告 – プリマハム株式会社(2026年6月25日)
- 外部サービスへの不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ – 株式会社ユニリタ(2026年6月25日)
- める配くんの一部サーバーにおける外部からの不正アクセス発生について – 東書Eネット(東京書籍株式会社)(2026年6月23日)
- 外部サービスへの不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ – 一般財団法人電気技術者試験センター(2026年6月25日)
- 当社が利用するクラウドサービス「める配くん」に対する不正アクセスの発生および個人情報流出の可能性について – Bizプリカ(2026年6月19日)
- メール配信サービス不正アクセス及び配信一時停止のお知らせ – eクリニック(NPO法人21世紀の医療医学を考える会)(2026年6月25日)
- メール配信サービスへの不正アクセスに関するお知らせ – 一般社団法人ANDMAMACO(2026年6月22日)
- 佐渡トキファンクラブメールマガジンの読者のメールアドレス情報の漏洩の疑いについて – 佐渡トキファンクラブ
- メールマガジン配信システムへの不正アクセスについて – NPO法人RAFIQ 難民との共生ネットワーク(2026年6月21日)
- メール配信システム「める配くん」における個人情報流出に関するお知らせ – KYOTO EXPERIMENT(2026年6月19日)
関連記事
佐嘉平川屋 オンラインショップが不正アクセスで最長約5年分・5,783名のクレジットカード情報と30,170名の個人情報漏洩
NECが英セキュリティ大手と能動的サイバー防御強化に向けたMOUを締結
1Passwordがイスラエル発のApono社を250億〜300億円規模で買収
オーストラリア第2位の砂糖生産者 Mackay Sugarがランサムウェア攻撃で操業停止-ランサムウェアグループ The Gentlemenが犯行声明
山口地検岩国支部が検察審査員11人のフルネームを秘匿処理せず外部送付し個人情報流出の恐れ
中国労働金庫、職員による暗号資産投資案件の不適切な勧誘を確認-ビットコインマイニング 投資への勧誘
LiteSpeed cPanel プラグインの脆弱性 CVE-2026-54420がKEVカタログに追加
MAP経営、Chatworkアカウントへ不正アクセスされ乗っ取り被害を公表
スマレジ 外部連携アプリへの不正アクセスによるサイバー攻撃のまとめ
