ECOMMITで従業員メール不正アクセス、MFA未設定が原因個人情報漏えいの可能性

株式会社ECOMMITは4月22日、同社従業員1名のメールアカウントが第三者から不正アクセスを受け、当該アカウントからフィッシングを目的とみられる不審メールが送信される事象が発生したと発表した。過去にやり取りしたメール本文や添付ファイルに含まれる個人情報が漏えいした可能性もあるとしている。原因は対象アカウントに多要素認証（MFA）が設定されていなかったことだという。

当社従業員メールアカウントへの不正アクセスに伴う個人情報等の漏えい可能性に関するお詫びとお知らせ | ECOMMITより引用

3行サマリー

見出し

0.1 3行サマリー
0.2 わかっていること／わかっていないこと

1 4月21日に把握、即日で遮断
2 漏えいの恐れがある情報
3 原因はMFA未設定全社で強制適用
4 業務メール侵害、典型的な侵入口
5 問い合わせ窓口
6 タイムライン

何が起きた　従業員1名のメールアカウントが不正アクセスを受け、フィッシングメール送信と過去の送受信内容の漏えい可能性が判明した。

影響　当該アカウントと送受信したメールアドレス・氏名・一部メール本文・添付ファイル内の個人情報が閲覧された可能性がある。対象件数は公表されていない。

対応　通信遮断・隔離・パスワード変更を実施。全従業員へパスワードの即時変更を義務付け、MFAを強制適用した。

わかっていること／わかっていないこと

判明している事実　不正アクセスを受けたのは従業員1名のメールアカウント。当該アカウントからフィッシングメールが送信された。原因は多要素認証の未設定。同社は事象を発生当日に把握し、通信遮断・パスワード変更・送信先への注意喚起を実施した。

未確認の事項　漏えいは確定しておらず「可能性」にとどまる。影響を受けた個人・法人の件数、不正アクセスの侵入経路、攻撃者の属性、フィッシングメール送信先の規模、添付ファイルの内容と機密度は明らかにされていない。個人情報保護委員会への報告状況についても発表には記載がない。

4月21日に把握、即日で遮断

同社の説明によると、事象が発生したのは2026年4月21日。同社は同日中に把握し、対象アカウントの通信遮断と隔離、パスワード変更を行った。あわせて、フィッシングメールが送られた相手アドレスへ注意喚起を発信したという。

翌22日の公表時点でも調査は続いており、漏えい範囲の特定が進められている。影響可能性が認められる相手には個別に連絡するとしている。

漏えいの恐れがある情報

同社が漏えいの可能性を認めているのは、当該アカウントと送受信していた相手のメールアドレス、氏名、一部のメール本文と添付ファイルに含まれる情報。具体的な件数や対象者の属性、添付ファイルの種別は公表されていない。

原因はMFA未設定全社で強制適用

原因について同社は、不正アクセスを受けたアカウントに多要素認証（MFA）が設定されていなかったことだと説明する。MFAはパスワード認証にワンタイムコードや認証アプリなどの追加要素を組み合わせる仕組みで、漏えいパスワードやフィッシングを起点とする不正ログインへの基本対策とされる。

対策として4月22日時点で、全従業員を対象とするパスワードの即時変更を義務付け、MFAの強制適用も完了した。新たに報告すべき事項が確認された場合は速やかに公表するという。

業務メール侵害、典型的な侵入口

業務用メールアカウントへの不正アクセスは、フィッシングや認証情報の使い回しを起点に国内でも多発している。乗っ取られたアカウントが取引先や顧客への二次的なフィッシング送信に悪用されるパターンも一般的で、被害が連鎖しやすい。

独立行政法人情報処理推進機構（IPA）は業務メールへのMFA導入を基本対策として繰り返し呼び掛けている。今回の事案は、MFA未導入アカウントが社内に残存するリスクを改めて示す格好となった。

問い合わせ窓口

同社は問い合わせ窓口として「セキュリティ対策事務局」を設置し、メール（security-alert@ecommit.jp）で受け付けている。

タイムライン

2026年4月21日（発生・検知）　従業員1名のメールアカウントが第三者の不正アクセスを受け、フィッシングメールを送信。同社が同日中に事象を把握。

2026年4月21日（一次対応）　当該アカウントの通信遮断・隔離、パスワード変更を実施。送信先メールアドレスに対し注意喚起を発信。

2026年4月22日（公表・恒久対策）　公式サイトで事案を公表。全従業員へパスワードの即時変更を義務付け、多要素認証（MFA）を強制適用。