公表日:2026年3月9日
組織:株式会社SaveExpats
原因:外部メール配信サービスのAPIキー流出による不正利用
攻撃手法:認証情報(APIキー)の不正利用によるメール不正送信
影響範囲:約14万件のフィッシングメール送信(受信者に影響の可能性)
深刻度:中(外部への影響あり・情報漏えいは確認されず)
分類:不正アクセス
本件は、外部メール配信サービスのAPIキーが不正に利用され、フィッシングメールの大量送信が発生した事案である。
事件概要
株式会社SaveExpatsは2026年3月、外部メール配信サービスのAPIキーが不正利用され、同社名義のメールが大量に送信されたと発表した。
同社によると、第三者がAPIキーを用いてメール配信機能を悪用し、意図しない送信が発生したという。
不正送信は2026年3月5日から7日にかけて約14万件にのぼり、受信者を不正サイトへ誘導するフィッシングメールが含まれていた。
現時点で同社サーバーへの侵入や顧客情報の漏えいは確認されておらず、原因や詳細については引き続き調査中としている。
本記事では、同社が公表した公式リリースをもとに内容を整理して掲載する。
分析
今回の事案では、外部メール配信サービスで利用していたAPIキーが不正利用され、メール送信機能が第三者に悪用された点が特徴である。
一般的にこの種のインシデントでは、認証情報の管理不備や流出を起点として、正規の機能が不正に利用されるケースが見られる。
APIキーはパスワードと同様に重要な認証情報であり、外部に露出した場合、システムへの侵入を伴わずとも機能単位での悪用が可能となる。
企業側はログ調査や認証情報の無効化、権限設定の見直しなどを通じて影響範囲の特定と再発防止策の検討を進めるのが一般的である。
今回の発表も、APIキー管理と外部サービス利用に関するセキュリティ対策の重要性を示す事例と位置付けられる。
この事件からわかること
今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。
- 認証情報の管理が重要となる
APIキーなどの認証情報が外部に流出すると、システムへの侵入がなくても機能が不正利用される可能性がある。 - 外部サービス経由でもインシデントが発生する
自社環境に侵入がなくても、利用しているサービスの認証情報を通じて不正行為が行われるケースがある。 - 初動対応では影響範囲の特定が重視される
ログ調査や不正利用の停止などを行い、どの範囲に影響が及んだかを確認することが一般的である。 - 再発防止では権限管理や運用見直しが行われる
認証情報の保管方法やアクセス権限の見直しなど、運用面での対策強化が進められる。
関連事件
- 株式会社サインド 不正アクセスで顧客情報漏えいの可能性 2026年3月 | セキュリティ事件簿#2026-148
- 株式会社がんばる舎 不正アクセスで個人情報漏えいの可能性 2026年3月 | セキュリティ事件簿#2025-447
- オーミケンシ株式会社 不正アクセスでシステム障害 2026年3月 | セキュリティ事件簿#2026-145
- 株式会社シーエーシー 不正アクセスで申請者情報漏えいの可能性 2026年3月 | セキュリティ事件簿#2026-001
- サクラ工業 不正アクセスで取引先情報漏えいの可能性 2026年3月 | セキュリティ事件簿#2026-144
公式発表(アーカイブ)
2026 年 3 月 9 日リリース分:メール不正送信に関するお詫びとご報告
平素より格別のご愛顧を賜り、誠にありがとうございます。
このたび、当社が利用する外部メール配信サービスにおいて、API キーが第三者に不正取得され、当社の意図しないメールが大量に送信されていた事実が判明いたしました。
関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
1. 発生した事象について
2026年3月8日、外部メール配信サービス事業者より異常な送信量に関する通知を受け、当社にて調査したところ、第三者による API キーの不正利用を確認いたしました。
この不正利用により、以下の事象が発生しております。
不正送信件数: 約 140,000 件
不正送信期間: 2026 年 3 月 5 日〜3 月 7 日
送信内容: 受信者を不正なウェブサイトに誘導し、個人情報の入力等を促すフィッシング詐欺目的のメール等
※当社はこれらのメールを一切送信しておりません。
なお、本件は当社の送信元情報を悪用したものであり、当社が保有するお客様情報が外部へ送信された事実は確認されておりません。
2. 原因について
現時点の調査では、外部メール配信サービスで利用していた API キーが外部に流出し、不正アクセスを受けた可能性が高いことが判明しております。
流出経路と不正利用の詳細については、現在も調査を継続しております。
3. 影響範囲について
本件により、第三者によるフィッシング詐欺メール等が外部の受信者へ送信され、迷惑および被害の恐れを生じさせた可能性があります。
一方で、
・当社サーバーへの侵入痕跡
・当社保有の個人情報が閲覧・取得された事実
は確認されておりません。
4. 受信者の皆様へのお願い
以下の点にご注意いただきますようお願いいたします。
・不審なメール内のリンクをクリックしない
・添付ファイルを開かない
・メールに返信しない
・「当社からの案内かどうか不明」なものは破棄する
本件に関して、当社が個人情報の入力をお願いするようなメールを送信することはございません。
5. 当社の対応および再発防止策
本件の判明後、当社では以下の対策を実施済みです。
・不正利用された API キーの 即時無効化
・外部メール配信サービスアカウントの パスワードおよび認証情報の更新
・アクセスログの精査 および不正アクセスの特定作業
・API キーの 保管方法・権限設定の見直し
・システムおよび運用面での セキュリティ強化
今後も再発防止に向けて、セキュリティ管理体制を一層強化し、類似の事象が発生しないよう努めてまいります。
6. お問い合わせ
本件に関するお問い合わせは、下記までご連絡ください。
株式会社 SaveExpats
住所:〒150-0011 東京都渋谷区東 1-1-38-404
MAIL:info@saveexpats.com