千葉県は2023年12月15日、県立君津亀山青少年自然の家のメールマガジンに登録していた利用者の個人情報であるメールアドレス613件が漏洩したと発表した。メールマガジンの運用は外部の事業者(マルミミ)に委託していた。メールアドレス以外の情報は漏洩していないとする。
2023年12月12日、メールマガジンの利用登録者から青少年自然の家に対し、メールマガジン「きみかめ通信」の名前をかたる不審なメールが届いたという連絡が入った。連絡を受けた青少年自然の家が同日マルミミに調査を依頼した結果、2023年12月11日に不正アクセスがあったことが判明した。不正アクセスによってメールマガジン配信システムからメールが配信されたほか、利用登録者のメールアドレス一覧がダウンロードされ外部に漏洩した。
マルミミによれば、きみかめ通信はWebサーバーにインストールしたメール配信システム「acmailer」を使って配信していた。2023年2月1日にメールマガジンの配信を終了したが、サーバーにはメールマガジンを配信できる状態で保存されていたという。攻撃者はメールアドレスをCSV形式でダウンロードした。acmailerの開発会社が脆弱性やシステムのアップデートをアナウンスしていたにもかかわらず、マルミミはアップデートせずにサーバー上に保存していたとしている。
マルミミは発生後の対応として2023年12月12日午後、メルマガ配信システムのパスワードを変更し、その後Webサーバーからメールマガジン配信システムを完全に削除したとする。
