メール配信サービス「める配くん」に不正アクセス、プリマハム・東京書籍ら10社超に影響

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「外部のメール配信サービスを使っていれば、自社で情報漏洩が起きることはないよね?」
「委託先のセキュリティって、どこまで確認すればいいの?」

チップス

ボス!メール配信サービスの「める配くん」が不正アクセスされて、プリマハムとか東京書籍とかのお客さん情報が漏れたって聞いたんでしゅ。委託先が攻撃されてもうちの会社の責任になるんでしゅか?

ボス

なる。委託先が保有している情報も、元は自社の顧客情報だ。委託先のセキュリティ事故は自社の事故と同義だぞ。

「外部サービスに丸投げすれば自社は安全」という認識は通用しません。
この記事では、メール配信サービス「める配くん」への不正アクセス事件の概要から、サプライチェーンリスクの本質と企業が取るべき対策まで解説します。

  • 2026年6月15〜16日に「める配くん」が脆弱性を突いた不正アクセスを受け、個人情報が漏洩した可能性
  • プリマハム・東京書籍・ユニリタなど業種・規模問わず10社超の組織に影響が及んだ
  • 漏洩情報は主にメールアドレス(一部組織では氏名・会社名も)、クレジットカード情報は対象外

利用したことがあるサービスからの連絡に注意しつつ、委託先管理の見直しを検討する機会でもあります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

メール配信サービス「める配くん」に不正アクセス、10社超の顧客情報が漏洩の可能性

株式会社ディライトフルが運営するメール配信システム「める配くん」は、2026年6月15日のサーバーログ監視中に異常なアクセスを検知しました。
調査の結果、同社は「システムの脆弱性を突いた第三者による不正アクセス」と「情報漏洩と考えられる痕跡」を確認しました。
6月16日には全サーバーアクセスを停止・ネットワークから隔離し、6月17日以降に利用企業へ順次通知。個人情報保護委員会と総務省への報告も完了しています。

影響を受けた組織と漏洩した可能性がある情報

業種・規模を問わず10社以上の組織が影響を受けており、確認されている主な事業者は以下の通りです。

  • プリマハム株式会社
  • 東書Eネット(東京書籍株式会社)
  • 株式会社ユニリタ、Bizプリカ
  • KYOTO EXPERIMENT、佐渡トキファンクラブ
  • 英語教育協議会、eクリニック ほか

漏洩した可能性がある情報は主にメールアドレスで、組織によっては氏名・会社名・地域情報も含まれます。
クレジットカード・住所・電話番号はシステム上保管されていないため、漏洩の対象外とされています。

チップス

食品メーカーから教育系企業まで、全然違う業種の会社が一斉に被害を受けたんでしゅね!なんでこんなにバラバラな会社が?

ボス

それがサプライチェーン攻撃の典型的な形だ。共通して使っているサービスプロバイダを1か所攻撃すれば、そこに連なる利用企業を芋づる式に巻き込める。効率が良いから攻撃者に好まれるんだ。

委託先が狙われる「サプライチェーンリスク」と企業が取るべき対策

今回の事件が示すのは、自社でいくらセキュリティを強化しても、委託先の脆弱性が突破口になりうるという現実です。
メール配信・決済・ストレージなど、SaaS型サービスに顧客情報を預ける企業は急増しており、委託先管理の重要性が以前にも増して高まっています。

委託先セキュリティ管理で企業が確認すべきポイント

委託先選定・運用において確認すべき主要事項は以下の通りです。

  • 委託先がISMS認証(ISO/IEC 27001)やPマーク等のセキュリティ認証を取得しているか確認する
  • 契約時にセキュリティ要件・インシデント発生時の通知義務を明文化する
  • 重要な個人情報を預ける委託先には、定期的なセキュリティアセスメントを実施する
  • インシデント通知を受けた際の初動対応手順(顧客通知・規制当局報告)をあらかじめ定める

個人情報保護法では、委託先でのデータ漏洩についても委託元の管理責任が問われます。
「委託先の問題だから」と他人事にできないのは法的にも明らかです。

チップス

委託先の管理って、どこまで確認すればいいんでしゅか?全部チェックするのは大変でしゅ……

ボス

まず個人情報を預けている委託先を洗い出して、リスクが高い順に優先度をつけることだ。全部一度にやろうとしなくてよい。重要度の高いものから順に確認する習慣が大切だぞ。

まとめ:委託先も「自社のリスク」として管理する意識が不可欠

「める配くん」への不正アクセスは、ひとつのサービス事業者への攻撃が複数の利用企業に連鎖するサプライチェーンリスクの典型例です。
「委託先が対応するから自社は安全」という認識はなく、委託元企業も委託先のセキュリティ水準を把握・管理する義務があります。
「める配くん」を利用していた組織は、影響を受けた利用者への通知と個人情報保護委員会への報告を遅滞なく行うことが重要です。

チップス

委託先のセキュリティ管理、うちでもちゃんと整備していかないといけないでしゅね!

ボス

そのとおりだ。SaaSサービスの普及で委託先は増える一方だ。管理体制を整えることが企業のリスク管理の基本になっているぞ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次