株式会社マリモホールディングス フィッシングメールで従業員情報漏えい 2026年3月 | セキュリティ事件簿#2026-128

 

事件概要

株式会社マリモホールディングスは2026年3月、フィッシングメールを原因としてグループ従業員の個人情報が不正に取得された可能性があると発表した。

同社によると、2025年12月18日、グループ役員を名乗る第三者から業務依頼を装ったメールが送信され、従業員情報の一部が取得されたことが判明した。

影響を受けた可能性があるのは、2024年8月から2025年12月の間にマリモグループ各社に在籍していた従業員および退職者約1,360人分の情報で、氏名や社員コード、所属部署、業務用メールアドレスなどが含まれる。

同社は個人情報保護委員会への報告を行うとともに、事実関係の調査や関係者への連絡、不審メール対策や従業員教育の強化などの再発防止策を進めている。

本記事では、同社が公開した公式リリースをもとに発表内容を整理して掲載する。

分析

今回の事案では、役員を名乗る第三者から送られたフィッシングメールをきっかけに、従業員情報の一部が不正に取得された可能性があると企業が公表している。

一般的にフィッシングメールは、業務依頼や社内連絡を装って情報を入力させるなど、組織内部の関係者を狙う手口として広く確認されている攻撃手法の一つである。

こうした事案では、送信元のなりすましや業務を装った依頼によって従業員が対応してしまうケースがあり、情報の入力や送付を通じてデータが外部に渡る可能性が生じる。

企業側は通常、ログ調査などによって影響範囲の確認を進めるとともに、関係者への連絡や再発防止策としてメール対策や従業員教育の強化などを実施することが多い。

今回の発表も、こうしたフィッシングメールを起点とした情報取得事案として調査と対策を進めている段階のインシデントと位置付けられる。

この事件からわかること

今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。

• フィッシングメールは組織内部の担当者を狙うケースも多い
  業務依頼や役員名を装ったメールなど、社内業務を装うことで情報を取得しようとする手口が確認されている。
  
  
• 影響範囲の特定はログ調査などを通じて進められる
  企業はどの情報が取得された可能性があるのかを調査し、対象者の特定や関係者への連絡を進めることが一般的である。
  
  
• 従業員教育やメール対策の強化が再発防止策となる
  不審メールの識別や確認手順の徹底など、人的対策と運用ルールの強化が再発防止策として検討されるケースが多い。
  
  
• 公表は関係者への周知や代替通知の役割を持つ
  対象者への個別連絡が難しい場合、企業が公式サイトなどで公表する形で情報提供を行うこともある。

関連記事

• 株式会社OAGコンサルティンググループ 不正アクセスでフィッシングメッセージ送信　2026年3月
  
  
• 税理士法人ハガックス Chatworkアカウント不正利用　2026年3月
  
  
• ウェルス・マネジメント株式会社 不正アクセスで不審メール送信　2026年3月

公式発表（アーカイブ）

2025年3月6日リリース分：個人データ漏えい等に関するお詫びとお知らせ

2025 年 12 月 18 日、当社宛にグループ役員を名乗る第三者から業務依頼を装ったフィッシングメールが送付され、これにより、退職者を含む当グループの従業員情報の一部が不正に取得されたことが判明しました。関係する皆さまにご心配とご迷惑をおかけしましたことを、深くお詫び申し上げます。

1. 概要

発生日 ：2025 年 12 月 18 日

発生経緯：グループ会社の役員を名乗る第三者からの業務依頼メールを装ったフィッシングにより、従業員情報の一部が不正に取得

2. 影響範囲（対象）

対象者：以下に列挙する当グループ各社に在籍していた従業者（退職者を含む）

⚫ 株式会社マリモホールディングス

⚫ 株式会社マリモ

⚫ マリモ・アセットマネジメント株式会社

⚫ 株式会社ＧＭアソシエ

⚫ 株式会社マリモハウス

⚫ 株式会社マリモ不動産販売

⚫ 株式会社マリモソーシャルソリューションズ

⚫ 株式会社マリモ・グローバル・テクノロジー

⚫ 株式会社マリモ本草薬膳

⚫ 株式会社フィッシュフレンズ

⚫ 株式会社マリモライフ

⚫ 株式会社マリモファーム

⚫ 株式会社せともす

⚫ 株式会社ココノミ

対象件数：約 1,360 名分（2024 年 8 月〜2025 年 12 月に在籍）

3. 漏えいした個人データの項目

⚫ 所属会社名

⚫ 社員コード

⚫ 氏名

⚫ 呼称（カナ）

⚫ 入社年月日

⚫ 社員区分

⚫ 所属部署名

⚫ 勤務地名

⚫ 業務用メールアドレス

※上記以外の情報は含まれておりません。

4. 原因

役員名をかたる第三者からのフィッシングメールに起因する不正取得。なお、当社グループのシステムの脆弱性によるものではありません。

5. 二次被害の有無・そのおそれ

住所・電話番号・業務用でない私用のメールアドレス・決済情報等の漏えいはなく、直接の財産的被害が生じるものではありません。

ただし、念のため当社や公的機関を装った不審なメール・SMS・電話によるなりすまし・詐取のリスクにはご注意ください。

6. 当社の対応

既に個人情報保護委員会へ報告をしているほか、事実関係の調査を継続し、影響範囲の特定と関係者への連絡を順次行っております。

不審メール対策の強化、本人確認ルールの徹底、教育・訓練の強化等、再発防止策を徹底してまいります。

7. 本公表の位置づけ

退職者等を含み、個別のご連絡が困難な方がいらっしゃるため、代替措置として本件の公表および問い合わせ窓口の設置を行います。ご自身が対象か確認を希望される場合は、下記窓口までご連絡ください。

8. お問い合わせ窓口

本件に関するお問い合わせ等は、下記窓口までご連絡ください。

E-mail：kojinjyouhoumadoguchi@marimo-ai.co.jp

※メールの件名に「従業員情報の不正取得の件」とご記載ください。

このたびの事態について、重ねてお詫び申し上げます。当社は、原因究明と再発防止策の実施を徹底し、信頼回復に努めてまいります。

以上

リリース文（アーカイブ）

セキュリティインシデント（事件簿）総合ページへ