静岡県と県内34市町　TOKAIコミュニケーションズ経由でメールアドレス漏洩か

見出し

1 TOKAIコミュニケーションズの不正アクセス事案
2 静岡県と34市町が対象
3 詐欺メールへの注意を呼びかけ
4 自治体のメールアドレス漏洩のリスク
5 TOKAIに運用改善を要求
6 TOKAIコミュニケーションズ事案の影響拡大
7 クラウドサービス利用のリスク再認識

静岡県は25日、TOKAIコミュニケーションズの法人向けメールサービス「One Office Mail Solution」への不正アクセスに関連して、県および県内市町（浜松市を除く）とメールの送受信を行った方のメールアドレスが漏洩している可能性があると発表した。令和5年4月以降にメールのやり取りをした法人・個人が対象で、メールヘッダ情報の一部（送信者・受信者のメールアドレス、件名、送信日時）が漏洩した可能性があるという。情報漏洩の事実は確認されていない。

セキュリティサービス提供事業者における不正アクセス被害について｜静岡県公式ホームページより引用

TOKAIコミュニケーションズの不正アクセス事案

TOKAIコミュニケーションズは12月19日、法人向けメールサービス「One Office Mail Solution」が不正なアクセスを受け、一部の情報が外部に漏洩した可能性があると公表した。同社は12月3日、同サービスがシスコシステムズ製品のゼロデイ脆弱性（CVE-2025-20393）を悪用した不正アクセスを受けたと発表している。

この事案では、約1万3000ドメイン、約16万9000のメールアドレスの情報が漏洩した可能性があるとされていた。静岡県の発表により、自治体への影響も明らかになった形だ。

静岡県と34市町が対象

静岡県によると、漏洩の可能性がある団体は静岡県と浜松市を除く34市町だ。これらの団体と令和5年4月以降に電子メールの送受信をした法人・個人において、メールヘッダ情報の一部とその他メールシステムなどで付加された情報が漏洩した可能性があるという。

メールヘッダ情報の一部とは、送信者・受信者のメールアドレス、件名、送信日時だ。メール本文や添付ファイルは含まれていない。ただし、件名に機微な情報が含まれている場合、その内容が漏洩した可能性がある。

詐欺メールへの注意を呼びかけ

静岡県は、情報漏洩の事実は確認されていないとしながらも、本件に関連した詐欺などの悪意あるメールが送信されるおそれがあるとして注意を呼びかけている。

心当たりのないアドレスや、自治体をかたる不審な電子メールが届いたときには、添付ファイルやURLのリンクを開かないよう求めている。気になる場合は、不用意に返信せず、アドレス帳や過去に受信したメールのアドレスを使って送信元に確認するよう呼びかけた。

自治体のメールアドレス漏洩のリスク

自治体とメールのやり取りをした法人・個人のメールアドレスが漏洩した場合、攻撃者はこれらのアドレスを利用して標的型攻撃を仕掛ける可能性がある。自治体を装ったなりすましメールを送信し、フィッシングサイトへ誘導したり、マルウェアを添付したりする手口が考えられる。

特に、件名の情報も漏洩している可能性があるため、実際にやり取りがあった内容を装ったメールを作成することができる。これにより、受信者の警戒心を下げ、メールを開封させやすくなる。

TOKAIに運用改善を要求

静岡県は、TOKAIコミュニケーションズに運用方法の改善を求め、同社は直ちにこれに対応したという。TOKAIコミュニケーションズは外部セキュリティ専門会社と連携した調査を実施しているとしている。

TOKAIコミュニケーションズ事案の影響拡大

TOKAIコミュニケーションズへの不正アクセスによる影響は、静岡県以外にも広がっている。フェンリル、メディアスホールディングス、ビーイング、はなさく生命、日本社宅サービス、KENTEMなどが同様にメールフィルタリングサービスやメールソリューションを利用しており、情報漏洩の可能性があると発表している。

今回の静岡県の発表により、自治体も影響を受けていることが明らかになった。自治体は多くの住民や事業者とメールでやり取りをしているため、影響範囲が広範になる可能性がある。