2026年6月19日、日中経済協会は職員1名のメールアカウントが不正アクセスを受け、第三者によって過去にやり取りのあった宛先へ565件のメールが送信されたと公表しました。起点はパスワードの窃取。攻撃者は本人になりすましてアカウントにログインし、約50分で外部からブロックされるまでの間に送信とメールボックスの閲覧を行ったとみられます。
「うちは標的になるような組織ではない」と感じる情シス担当者も多いはずです。しかしこの事例は、特別な脆弱性ではなくパスワード1つの漏えいから始まっています。どの組織にも起こりうる、極めて身近なインシデントです。
- この記事でわかること
- 日中経済協会で何が起きたのか(事実の整理)
- アカウント乗っ取りが「スパムの踏み台」になぜつながり、なぜ怖いのか
- 情シスが自社で今すぐ確認すべきポイント
何が起きたのか
公表された情報を時系列・要点で整理します。
| 項目 | 内容 |
|---|---|
| 組織 | 日中経済協会 |
| 発生 | 2026年6月3日 11時ごろ |
| 遮断 | 同日 11時50分ごろ(不正アクセスをブロック) |
| 公表 | 2026年6月19日 |
| 原因 | ログインパスワードの窃取による本人なりすまし |
| 影響 | 職員1名のアカウントから565件のメールを不正送信(宛先は過去のやり取り先) |
| 二次被害 | メールボックス内のメールが閲覧され、含まれる情報が第三者に取得された可能性 |
| 対応 | 関係者への報告・謝罪、個人情報保護委員会への報告、パスワード管理の厳格化、多要素認証(MFA)の導入 |
注目すべきは、サーバーの脆弱性を突かれたのではなく、正規の認証情報でログインされている点です。攻撃者にとってはシステムから見れば「正しい利用者」であり、検知が難しい類型のインシデントといえます。
なぜ「スパムの踏み台」になるのか
乗っ取ったアカウントをなぜ攻撃者は使うのか。答えは「信頼」をそのまま悪用できるからです。乗っ取られたアカウントから届くメールは、送信ドメイン認証(SPF/DKIM/DMARC)を正規に通過し、受信側のフィルタもすり抜けやすくなります。差出人は実在の取引先・知人であり、過去のやり取りの文脈すら流用できます。
今回、宛先が「過去にやり取りのあったメールアドレス」だった点は軽視できません。無差別の迷惑メールではなく、関係先を狙った二次攻撃の起点になりうるからです。受け取った取引先がリンクや添付を開けば、被害は連鎖します。BEC(ビジネスメール詐欺)や、さらなるアカウント乗っ取りの呼び水になる構図です。
踏み台化で自社が被る損害は何か
送信元として悪用されると、自社ドメインがブロックリストに載り、その後の正規メールが届かなくなる二次被害が起きえます。取引先からの信頼低下という、復旧に時間のかかるダメージも無視できません。
情シスがまず確認すべきこと
この事例を「他社の話」で終わらせないために、自社環境で点検したい観点を挙げます。いずれも特別なツールがなくても着手できるものです。
- 多要素認証(MFA)の適用範囲:全アカウントに有効か。管理者・役員・対外窓口だけでなく、一般職員まで漏れなくかかっているか。今回も再発防止策としてMFA導入が挙げられています。
- パスワードの使い回し:他サービスからの漏えいパスワードが流用されていないか。窃取の経路はフィッシングだけでなく、別サービスの漏えいリストの再利用(パスワードリスト型)も典型です。
- 不審なログイン・送信の検知:普段と異なる国・時間帯からのログイン、短時間の大量送信を検知・通知できているか。今回は約50分で遮断されており、早期検知が被害を抑えた可能性があります。
- 監査ログの保全と確認:メールの送信履歴・サインインログを一定期間保持し、いざという時に「いつ・どこから・何を」追える状態か。
- 自動転送ルールの点検:乗っ取り後にひそかに転送設定を仕込まれていないか。気づかれにくい常套手段です。
現場目線の課題
正直なところ、MFAは「入れれば終わり」ではありません。例外申請や、業務端末を持たない職員、共有アカウントなど、現場には必ず「かけきれない隙間」が残ります。限られた人員で全アカウントの設定状況を継続的に把握し続けるのは、想像以上に骨が折れます。
また、今回のように正規の認証情報でログインされると、システム的な異常としては表面化しにくいのが厄介です。「いつもと違う」を拾うには、ログを眺めるだけでなく、利用者本人が「自分は送っていないメールがある」と気づいて報告できる土壌——つまり地道なユーザー教育が効いてきます。技術対策と啓発の両輪である点を、改めて実感させられる事例です。
情シスはどうすべきか(公的指針の活用)
対策の全体像は、自前でチェックリストを抱え込むより、公的機関の指針を起点にするのが近道です。まずは以下を参照し、自社の現状とのギャップを洗い出すことをおすすめします。
- IPA「中小企業の情報セキュリティ対策ガイドライン」:組織として最低限押さえるべき対策が体系化されています。https://www.ipa.go.jp/security/guide/sme/index.html
- IPA「対策のしおり」:エンドユーザー向けの啓発資料。パスワード管理やフィッシング注意の教育素材として使えます。https://www.ipa.go.jp/security/guide/shiori.html
そのうえで、技術的にはMFAの全面適用と不審ログインの検知、運用面では「おかしいと思ったらすぐ情シスへ」という報告ルートの周知を、優先度の高い項目として位置づけたいところです。
まとめ
- 日中経済協会の事例は、パスワード窃取という身近な起点からアカウントが乗っ取られ、過去のやり取り先へ565件のスパムが送信されたもの。サーバーの脆弱性ではなく正規ログインのため検知が難しい。
- 乗っ取りアカウントは送信ドメイン認証を通過し、関係先を狙う二次攻撃やBECの踏み台になりうる。自社ドメインのブロックリスト入りという二次被害にも注意。
- 自社ではMFAの全面適用・パスワード使い回しの排除・不審ログインの検知・自動転送ルールの点検を点検し、ユーザー教育と合わせて備えることが重要。
出典・関連記事
- Security NEXT「職員アカウントが侵害、スパムの踏み台に – 日中経済協会」 https://www.security-next.com/185994
- 個人情報保護委員会 https://www.ppc.go.jp/
あわせて読みたい:
- フィッシング報告23.5%増 独自ドメインが9割の盲点(認証情報の窃取はこうして起きる)
- メール誤送信、取消機能で二次流出 情シスの再発防止策(メール起点の情報流出と対応)
- IPA「中小企業の情報セキュリティ対策ガイドライン」4.0版の要点(対策の全体像を押さえる)
