kMailerによる情報流出に関するお知らせとお詫び

トヨクモ株式会社が提供しているkMailerにおいて、kMailerを契約する別の弊社顧客の認証情報を使ってメールを送信してしまう不具合があり、メール送信時のお客様情報の一部がログ情報として流出した可能性がございますので、お知らせいたします。

お客様はじめ、多くの関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申しあげます。

現在も調査を続けており、今後新たな情報が判明する可能性がございますが、現時点で確認できた事実関係(2021年1月8日現在判明分)の概要は次の通りです。

1.流出先として可能性がある弊社顧客

kMailerのSMTPサーバー設定としてSendGridを設定しており、SendGridに二要素認証設定していた弊社顧客 18社 に対して、お客様情報の一部がログ情報として流出した可能性がございます。

弊社顧客18社がSendGridにログインし、その後Activity情報でのみ確認できる情報であり、それ以外への情報の流出は現在確認されていません。

1月8日14:40追記:その後の調査で、対象は最大7社と判明しています。

2.流出した可能性があるお客様情報

・SendGrid内のActivity情報

・宛先のメールアドレス  ※ 名前、本文は含まれません
・メールの件名  ※ 流出先のお客様が米国直接契約の場合
・受信者のIPアドレス、ユーザーエージェント
・受信ステータス

・Processed:メール送信をSendGridが受け付けたかどうか
・Delivered:受信側メールサーバーが該当メールを受け付けたかどうか
・Bounce:受信側のメールサーバーに該当メールが拒否されたかどうか

・SendGridの設定でOpen Tracking 機能が有効で送ったメールがHTMLメールの場合、そのメールが開封されたかどうか
・SendGridの設定でClick Tracking 機能が有効な場合は、クリックされたURL

※ SendGrid内のActivity情報の保存期間は1週間。
流出先のお客様が米国直接契約の場合は3日間。ただし、長期保存のオプション契約をした場合は最大30日間

1月15日11:00追記:メールの件名に関しては流出が無かったことを確認しました。

3.流出した可能性があるメール送信数

流出した可能性があるメール、およびその送信数は現在調査中です。

1月8日14:40追記:最大1948件と判明しました。多くの方々にご迷惑をおかけし申し訳ございません。

4.不具合の発生認識と対応の経緯

2021年1月7日 (木) 16時51分に、取引先よりSendGridの認証情報が意図せず共有・混在している可能性があると連絡を受けました。
弊社で調査したところ、SMTP設定の「サーバー名」「ポート番号」「通信の暗号化方式」「ユーザー名」が同じお客様がいた場合に、上記の不具合が発生することを確認しました。同日21時30分に上記の不具合を解決する、緊急メンテナンスを実施いたしました。

5.不具合の現象

kMailerのSMTPサーバー設定として、SendGridの二要素認証設定をしている弊社顧客と1分単位で同じ時刻にメールを送信した場合に、弊社顧客の認証情報を利用してメールを送信していた可能性がございました。そのため、弊社顧客18社のSendGrid内に、メール送信のログ情報としてお客様の情報が流出した可能性がございます。

1月8日14:40追記:その後の調査で、対象は最大7社と判明しています。

現在、その不具合は改修しております。

現在、流出した可能性のあるメールとその件数について調査をしております。また、同時に流出先のお客様には対象期間中のSendGrid内のActivity情報を保存しないようにお願いを進めております。

6.本件による当社の業績への影響

現時点で当社の業績への影響は軽微と考えておりますが、改めて開示が必要な場合には、別途速やかにお知らせいたします。

皆様には、多大なるご心配とご迷惑をおかけしておりますことを、改めてお詫び申しあげます。

再びこのような事態を発生させることがないよう、より一層の管理体制の強化に努める所存です。

トヨクモ株式会社
代表取締役社長 山本 裕次

1月15日11:00追記:

その後、対象となる7社全てのお客様と連絡が取れ、対象期間内のActivity情報の保存や再利用をしないことを確約いただいております。

ーーーーーーー

1月8日14:40追記をしています

1月15日11:00追記をしています