KDDIはISP事業者向けメールシステムへの不正アクセスにより、最大1422万件のメール関連情報が漏えいした可能性があると発表した。
対象にはニフティやBIGLOBEなど6社のメールサービスが含まれており、利用者にはパスワード変更が呼びかけられている。
KDDIのメール基盤に不正アクセス、6社の利用者情報に影響
KDDIが2026年6月23日に公表した内容によると、同社がISP事業者向けに提供するメールシステムが不正アクセスを受け、各社のメールサービスで使われる情報の一部が外部に漏えいした可能性がある。
KDDIは6月17日に不正アクセスを確認し、同日中にシステム改修と技術的な防御措置を実施した。
漏えいした可能性があるのは、メールボックスに紐づくメールアドレスとパスワードで、件数は最大1422万件にのぼる。解約済み利用者や休眠アカウントも対象に含まれ、パスワードにはハッシュ化・暗号化されたものもあるという。
件数は調査継続中のため現時点での最大値として示された。
対象はSTNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブの6社である。
サービスでは「ピカラ光サービス」「CPI」「J:COM NET」「コミュファ光」「@niftyメール」「BIGLOBEメール」などが含まれ、個人向けに加えて一部法人向けにも影響が及ぶ。
KDDIは6月17日以降、各事業者に順次連絡し、対策の協議と導入を進めている。
不正アクセスの原因についてKDDIは、メールシステムで利用していた第三者製ソフトウェアの脆弱性(※)が悪用されたためだと説明した。
同社は個人情報保護委員会や総務省への報告・相談を進めるとともに、利用者に対して各事業者の案内を確認したうえで、早急にメールパスワードを変更するよう呼びかけている。
※脆弱性:ソフトウェアやシステムに存在する設計上・運用上の弱点。不正アクセスの原因として悪用される場合がある。
信頼回復へ求められる対策強化
今回の事案は、一つのシステム基盤に複数の事業者が依存する環境において、障害やセキュリティ事故が広範囲へ波及する可能性を改めて示したと考えられる。
利用者から見れば契約先が異なっていても、共通基盤の影響を受けるケースは少なくないため、構造的なリスクの存在が意識されやすい状況にある。
一方で、迅速に不正アクセスを検知し、防御措置や利用者への通知を進めたことは被害拡大の抑制につながる可能性がある。大規模なサービスでは初動対応の速度が重要であり、その後の調査や情報開示の透明性も注目されそうだ。
利用者側では、パスワードの使い回しを避けることや、多要素認証を活用することの重要性が改めて意識されるかもしれない。同一の認証情報を複数サービスで利用している場合には、影響がメール以外へ広がる懸念も考えられる。
今後は通信事業者だけでなく、システムを構成するソフトウェアの管理体制や脆弱性への対応手順についても関心が高まりそうだ。
企業には継続的な監視や更新体制の強化が求められ、利用者との信頼関係をどのように維持するかが重要な課題になるとみられる。
KDDI株式会社 「ISP 事業者向けメールシステムに対する不正アクセスの発生について」
関連記事:
マネーフォワード、GitHub不正アクセスで一部情報流出か 銀行連携を一時停止
NTTドコモ、不正アプリ「dアップグレード」に注意喚起 個人情報窃取と不正決済の危険性が判明
都立大で不正アクセス発覚 教員のフィッシング被害で個人情報流出の可能性
