2025年4月27日から28日にかけて、三菱地所ハウスネット株式会社が保有するメールドメイン「@mec-h.com」が第三者により不正に利用され、「apps@mec-h.com」というメールアドレスから約50,000通の迷惑メールが送信されました。mec-h.co.jp+4cdn.www.mec-h.co.jp+4act1.co.jp+4
同社は、事案確認後、直ちに当該メールサーバーのログインパスワードを無効化し、利用を停止する対応を取りました。また、社内のデータベースへの不正アクセスや個人情報の漏洩は確認されていないと発表しています。 security-next.com+3cdn.www.mec-h.co.jp+3cybergymjapan.com+3security-next.com+3cybergymjapan.com+3act1.co.jp+3
🛠 中小企業が取るべき対策
このような事案は大企業に限らず、中小企業でも起こり得ます。実際、従業員5名の中小企業様のHPが乗っ取られ、会員登録されていた600名ほどのメールアドレスに「倒産しました」の偽情報を流されての対応がひと段落し、やはり情報保護体制の構築の徹底と認証を取得し、信頼回復を図りたいとご相談にいらした企業様がありました。
まさに、企業規模に関わらず起こりえる今回の事例です。
以下の対策を講じることで、同様のリスクを低減することが可能です。
✅ 強固なパスワード管理:メールアカウントのパスワードは、推測されにくい複雑なものを設定し、定期的に変更する。
✅ 多要素認証の導入:ログイン時にパスワードに加え、別の認証要素を求めることで、不正アクセスのリスクを減少させる。
✅ アクセスログの監視:異常なログイン試行や大量のメール送信など、通常と異なる挙動を検知するために、ログの定期的な確認を行う。
✅ 従業員へのセキュリティ教育:フィッシングメールの識別方法や、不審なリンクをクリックしないなど、基本的なセキュリティ意識を高める教育を実施する。
これらの対策を講じることで、メールドメインの不正利用による被害を未然に防ぐことが可能です。中小企業においても、情報セキュリティ対策の重要性を再認識し、適切な対応を進めていくことが求められます。
御社の保護体制の見直しに取り掛かるきっかけになれば嬉しいです。一緒に日本の中小企業の情報セキュリティ意識を上げるために「だったらこうしてみたら?」を提案しあえる仲間が増えることを目指しています。最後までお読みいただきありがとうございました。