4058 M-トヨクモ 2021-01-08 12:20:00
kMailerによる情報流出に関するお知らせとお詫び [pdf]
2021 年 1 月 8 日
各 位
会社名 ト ヨ ク モ 株 式 会 社
代表者名 代表取締役社長 山本 裕次
(コード番号:4058 東証マザーズ)
問合せ先 取締役経営管理本部長 石井 和彦
ir@toyokumo.co.jp
kMailer による情報流出に関するお知らせとお詫び
トヨクモ株式会社が提供している kMailer において、kMailer を契約する別
の弊社顧客の認証情報を使ってメールを送信してしまう不具合があり、メール
送信時のお客様情報の一部がログ情報として流出した可能性がございますので、
お知らせいたします。
お客様はじめ、多くの関係先にご迷惑とご心配をおかけしておりますことを、
深くお詫び申しあげます。
現在も調査を続けており、今後新たな情報が判明する可能性がございますが、
現時点で確認できた事実関係(2021 年 1 月 8 日現在判明分)の概要は次の通り
です。
1.流出先として可能性がある弊社顧客
kMailer の SMTP サーバー設定として SendGrid を設定しており、SendGrid
に二要素認証設定していた弊社顧客 18 社 に対して、お客様情報の一部がロ
グ情報として流出した可能性がございます。
弊社顧客 18 社が SendGrid にログインし、その後 Activity 情報でのみ確認で
きる情報であり、それ以外への情報の流出は現在確認されていません。
2.流出した可能性があるお客様情報
・SendGrid 内の Activity 情報
・宛先のメールアドレス ※ 名前、本文は含まれません
・メールの件名 ※ 流出先のお客様が米国直接契約の場合
・受信者の IP アドレス、ユーザーエージェント
・受信ステータス
・Processed:メール送信を SendGrid が受け付けたかどうか
・Delivered:受信側メールサーバーが該当メールを受け付けたかどう
か
・Bounce:受信側のメールサーバーに該当メールが拒否されたかどうか
・SendGrid の設定で Open Tracking 機能が有効で送ったメールが HTML メ
ールの場合、そのメールが開封されたかどうか
・SendGrid の設定で Click Tracking 機能が有効な場合は、クリックされた
URL
※ SendGrid 内の Activity 情報の保存期間は1週間。
流出先のお客様が米国直接契約の場合は 3 日間。ただし、長期保存のオプ
ション契約をした場合は最大 30 日間
3.流出した可能性があるメール送信数
流出した可能性があるメール、およびその送信数は現在調査中です。
4.不具合の発生認識と対応の経緯
2021 年 1 月 7 日 (木) 16 時 51 分に、取引先より SendGrid の認証情報が意図
せず共有・混在している可能性があると連絡を受けました。
弊社で調査したところ、SMTP 設定の「サーバー名」「ポート番号」「通信
の暗号化方式」「ユーザー名」が同じお客様がいた場合に、上記の不具合が発
生することを確認しました。同日 21 時 30 分に上記の不具合を解決する、緊急
メンテナンスを実施いたしました。
5.不具合の現象
kMailer の SMTP サーバー設定として、SendGrid の二要素認証設定をして
いる弊社顧客と 1 分単位で同じ時刻にメールを送信した場合に、弊社顧客の認
証情報を利用してメールを送信していた可能性がございました。そのため、弊
社顧客 18 社の SendGrid 内に、メール送信のログ情報としてお客様の情報が流
出した可能性がございます。
現在、その不具合は改修しております。
現在、流出した可能性のあるメールとその件数について調査をしております。
また、同時に流出先のお客様には対象期間中の SendGrid 内の Activity 情報を
保存しないようにお願いを進めております。
6.本件による当社の業績への影響
現時点で当社の業績への影響は軽微と考えておりますが、改めて開示が必要
な場合には、別途速やかにお知らせいたします。
皆様には、多大なるご心配とご迷惑をおかけしておりますことを、改めてお
詫び申しあげます。
再びこのような事態を発生させることがないよう、より一層の管理体制の強
化に努める所存です。
以 上