1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. NTTPCコミュニケーションズ、WebARENAへの不正アクセスでメールアドレスなど個人情報漏洩の恐れ

NTTPCコミュニケーションズ、WebARENAへの不正アクセスでメールアドレスなど個人情報漏洩の恐れ

情報セキュリティ

投稿日時: 更新日時:

NTTPCコミュニケーションズ、WebARENAへの不正アクセスでメールアドレスなど個人情報漏洩の恐れ

NTTPCコミュニケーションズ株式会社は2026年6月23日、同社が提供するWebARENAメールホスティングおよびWebARENA SuiteXの付帯機能「大容量ファイル転送機能」への不正アクセスについて、外部セキュリティ専門会社との詳細調査が完了したとして調査結果と提供再開の見通しを公表しました。

サーバーの一部において2026年4月21日から第三者による不正アクセスがあった痕跡が確認されているものの、現時点で情報漏洩を示す明確な痕跡は確認されておらず、その可能性を完全に否定できるものではないとしています。

対象範囲には7,446件のユニークメールアドレスと4,463件のアップロードファイルが含まれており、サービスの再開はシステム全体の再構築を経た2026年12月頃を目途としています。

サマリー

  • 調査完了報告日:2026年6月23日(サービス停止から約55日)
  • 運営:NTTPCコミュニケーションズ株式会社(NTTグループ)
  • 対象サービス:WebARENAメールホスティング・WebARENA SuiteX(V1・V2スタンダード・V2メールプレミアム)の付帯機能「大容量ファイル転送機能」
  • 不正アクセスの最初の痕跡:2026年4月21日(サービス停止より8日前)
  • サービス停止:2026年4月29日深夜(外部からの攻撃とみられる通信が断続的に発生)
  • 対象データ:
    • 認証ログのユニークメールアドレス:7,446件(2019年3月5日~2026年4月30日)
    • アップロードされた電子ファイル:4,463件(2026年4月19日~30日)
    • ダウンロード用パスワード・URL・メッセージ・操作ログ・Webサーバログも格納
    • 対象契約数:1,510契約
  • 情報漏洩:痕跡は現時点で未確認。ただし可能性を完全に否定できるものではないと明示
  • 二次被害:確認なし
  • サービス再開見通し:2026年12月頃(システム全体の再構築が必要)
  • 参考:本件は5月10日に別途発表されたWebARENA SuiteXの収容サーバー「dc70.etius.jp」への攻撃とは別事案

何が起きたか

2026年4月29日の深夜、WebARENAメールホスティングおよびSuiteXの付帯機能「大容量ファイル転送機能」を構成するサーバーに対して、外部からの攻撃とみられる通信が断続的に検知されました。NTTPCはただちに当該サーバーへのアクセスを遮断し、同機能の提供を停止しました。この時点では5月1日に停止の事実が公表されましたが、情報漏洩の有無については調査中として明示されていませんでした。

その直後の5月10日、今度はWebARENA SuiteXの収容サーバー「dc70.etius.jp」が別途外部からの攻撃を受けた可能性があるとして、同サーバーに所属する契約者向けサービスの提供が停止されました。1か月以内に2度の攻撃が発覚したこの状況は、当サイトでも5月18日に「1か月に2度のサイバー攻撃」として報じています。

その後、外部のセキュリティ専門会社と連携した詳細調査が継続されました。6月23日の調査完了報告では、本機能を構成するサーバーの一部において2026年4月21日から第三者による不正アクセスがあった痕跡が確認されていることが明らかにされました。4月29日にサービスを停止する判断を下す8日前から、すでに不正なアクセスが行われていたことになります。攻撃を受けたサーバーにおいて情報漏洩を示す明確な痕跡は確認されていないとしながらも、その可能性を完全に否定できるものではないという踏み込んだ表現でリスクを認めています。

概要

大容量ファイル転送機能は、最大1GBの電子ファイルをクラウド上に一時保存し、ダウンロード用URLとパスワードを相手に伝えることで授受できる機能です。通常のメール添付では送れない画像・動画・CADデータなどの大容量ファイルを、メールと組み合わせてやり取りするために広く利用されてきました。

今回の調査で格納されていたことが確認された情報は複数の種類にわたります。

認証ログとしては、2019年3月5日から2026年4月30日までの約7年間にわたるログイン時のメールアドレスと認証日時が含まれており、

ユニークメールアドレスは7,446件に上ります。

アップロードされた電子ファイルについては、2026年4月19日から30日の11日間分で4,463件が対象範囲です。

これ以外にもアップロード時の日時・IPアドレス・ファイル名・ダウンロード用パスワード・ダウンロード用URLおよびメッセージ、操作ログ、Webサーバログが同一サーバー上に格納されていました。

特に注目すべきは、ダウンロード用のパスワードとURLがサーバー上に保存されていた点です

。大容量ファイル転送サービスの性質上、これらは送受信双方の業務ファイルへのアクセス情報そのものです。仮にこの情報が取得されていた場合、有効期限内のURLについては攻撃者がファイルに直接アクセスできる状態になり得ます。

また、アップロードされた4,463件の電子ファイルには、契約者が業務上の相手先へ送付しようとした書類・図面・データ等が含まれている可能性が高く、その性質によっては取引先も含めた二次的な情報漏洩リスクが存在します。

原因

調査で確認された最初の不正アクセス痕跡は2026年4月21日であり、サービスが停止された4月29日との間には8日間の差があります。

この間に何が起きていたのかは公表情報の範囲では明らかにされていませんが、4月21日から断続的な不正アクセスが行われていたにもかかわらず、4月29日に通信量が増加または別の異常が検知されるまで、内部的に把握できていなかったと推測されます。

ネットワーク監視の観点からすれば、通常のアクセスと見分けがつかないような低速・断続的なアクセスが行われていたか不正アクセスを検知するための仕組みが機能しきれていなかった可能性があります。

7年分の認証ログと「ダウンロード用パスワード」が格納されていた意味

今回の対象範囲の中で、情報システム部門として特に注意が必要な2点について補足します。

認証ログの対象期間が2019年3月5日から2026年4月30日までの約7年間に及んでいる点は、過去にこのサービスを利用したことがある組織にとっても無関係とは言えません。

現在は契約していない、あるいは当該機能を使っていないという組織でも、過去に利用していた場合、その認証ログのメールアドレスが対象範囲に含まれている可能性があります。メールアドレスはフィッシングの標的情報として悪用できるため、過去の利用者も含めた注意喚起が必要です。

ダウンロード用パスワードが格納されていた点については、ファイル転送サービスの設計上の問題として捉える必要があります。

ダウンロード用パスワードがサーバー上に保存されている場合、そのパスワードが平文か暗号化されているかによってリスクの大きさは変わりますが、攻撃者がパスワードを取得できていた場合、有効期限内のすべてのダウンロードURLに対して認証を突破できることになります。

情報システム部門が今すぐ取るべき対応

WebARENA メールホスティングまたはWebARENA SuiteXのサービスを利用している、あるいは過去に利用したことがある組織は以下を確認してください。

自組織が対象に含まれているかについては、NTTPCから「不正アクセスの発生が確認されている状況を踏まえ、順次個別にご連絡する」としています。連絡の際は契約IDが記載されるとのことですので、受信した場合はフィッシングメールとの見間違いに注意しながら送信元と内容を確認してください。

過去の利用分も含めたメールアドレスの確認については、2019年3月以降に本機能を利用したことがある組織は、当時使用したメールアドレスが認証ログの対象範囲に含まれている可能性があります。そのメールアドレスが現在も使用中の場合、フィッシングメールの受信リスクがあるとして社内への注意喚起を行ってください。

アップロードしたファイルの内容確認については、2026年4月19日から30日の間に本機能でファイルをアップロードした実績がある場合、そのファイルの内容と機密性を確認してください。取引先や顧客の個人情報・業務機密が含まれていた場合は、取引先への情報提供や個人情報保護委員会への報告要否を社内で判断してください。

大容量ファイル転送の代替手段については、サービス再開が2026年12月頃と見通されているため、現時点でWebARENAの転送機能に依存していた業務フローについて、代替の安全なファイル転送手段を確保する必要があります。自社管理のセキュアなファイル共有サービスへの移行や、エンドツーエンド暗号化に対応したファイル転送ツールの採用を検討してください。

FAQ

Q. 情報漏洩は確定しましたか?

A. 2026年6月23日の調査完了報告では、攻撃を受けたサーバーにおいて情報漏洩を示す明確な痕跡は確認されていないとされています。ただし可能性を完全に否定できるものではないと明示されており、確定はしていないが否定もできないという状態です。今後新たな事実が判明した場合は速やかに報告するとしています。

Q. dc70.etius.jpへの攻撃(5月10日発表)との関係は?

A. NTTPCは今回の公表で大容量ファイル転送機能への攻撃について報告しており、dc70.etius.jpへの攻撃とは別の事案として扱われています。ただし同一月内に立て続けて発生している事実は、同サービス基盤全体のセキュリティ状態に関して継続的な注意が必要であることを示しています。

Q. サービス再開はいつですか?

A. 2026年12月頃を目途としていますが、確定次第あらためて案内するとしており、現時点では目途のみの公表です。これまでの環境ではなく、システム全体を再構築する方針であるため、安全性の確認を経るまでに相当の期間を要するとしています。

Q. 過去に本機能を利用していた(現在は利用していない)組織も影響を受けますか?

A. 認証ログの対象期間が2019年3月5日から2026年4月30日と約7年間に及ぶため、過去に利用したことがある組織のメールアドレスが含まれている可能性があります。NTTPCから個別連絡がある予定ですが、過去利用の有無を確認し、利用実績がある場合は社内への注意喚起を行うことを推奨します。

出典

当サイト関連記事

関連記事

NTTPC 運営のWebARENA SuiteXへ1か月以内に2度のサイバー攻撃NTTPC 運営のWebARENA SuiteXへ1か月に2度のサイバー攻撃-情報漏洩の有無は調査中 FortiBleed、86,644台のFortiGateの認証情報が流出-インターネット公開機器の約半数に影響FortiBleed、86,644台のFortiGateの認証情報が流出-インターネット公開機器の約半数に影響 Check Point VPNの認証回避 脆弱性-サイバー攻撃への悪用 確認(CVE-2026-50751)Check Point VPNの認証回避 脆弱性-サイバー攻撃への悪用 確認(CVE-2026-50751) SKYSEA Client View・SKYMEC IT Managerに権限昇格の脆弱性(CVE-2026-39454)SKYSEA Client View・SKYMEC IT Managerに権限昇格の脆弱性(CVE-2026-39454) 富士通 サイバー攻撃による個人情報漏えいについて続報を発表富士通 サイバー攻撃による個人情報漏えいについて続報を発表 標的型攻撃か AkamaiがAIセキュリティのLayerXを約2億500万ドルで買収へ、AI利用制御とブラウザセキュリティをゼロトラスト戦略に統合AkamaiがAIセキュリティのLayerXを約2億500万ドルで買収へ、AI利用制御とブラウザセキュリティをゼロトラスト戦略に統合 福島県郡山 ビッグアイ 管理組合で約3,755万円横領、20年以上続いた不正と監査体制の機能不全福島県郡山 ビッグアイ 管理組合で約3,755万円横領、20年以上続いた不正と監査体制の機能不全 Adobeのゼロデイ 脆弱性を悪用したサイバー攻撃の兆候Adobeのゼロデイ 脆弱性を悪用したサイバー攻撃の兆候 NEC「Aterm Biz SH621A1」にLAN側からの不正アクセスで任意スクリプトが実行される脆弱性-Ver.3.0.10以前が対象NEC「Aterm Biz SH621A1」にLAN側からの不正アクセスで任意スクリプトが実行される脆弱性-Ver.3.0.10以前が対象