ISP向けメール 不正アクセス 解説
2026年6月23日 発表KDDIのメールシステムに不正アクセス
最大1,422万件 漏えいの可能性
@niftyメールやBIGLOBEメールなど6社が対象。「自分は対象なのか」「今すぐ何をすればいいのか」を、できるだけわかりやすく整理しました。
まず結論:3つだけ覚えてください
- 対象はau・UQ mobileのメールではなく、@niftyやBIGLOBEなど6社のISPメールです。
- 漏れた可能性があるのはメールアドレスとパスワード。解約済み・休眠アカウントも対象です。
- 対象サービスを使っている(使っていた)人は今すぐパスワード変更。同じパスワードを使い回している人は特に急いでください。
何が起きたのか:事案の概要
KDDIの発表によると、不正アクセスが確認されたのは2026年6月17日です。KDDIがISP(インターネット接続事業者)向けに提供しているメールシステムに外部の第三者が不正アクセスし、メールサービスの情報の一部が外部へ流出した可能性があることが判明しました。
KDDIは確認した同日(6月17日)に被害拡大を防ぐためのシステム改修を実施。攻撃を受けた箇所(被疑箇所)の特定と技術的な防御措置を完了させたとしています。つまり攻撃の入り口そのものはすでに塞がれている状態です。そのうえで6月23日に正式公表しました。
KDDIは個人情報保護委員会と総務省への報告・相談も実施しており、関係法令に沿った対応を進めています。
これまでの経緯(時系列)
メールシステムへの不正アクセスを確認。同日中にシステム改修・被疑箇所の特定・技術的な防御措置を実施。対象ISP各社への連絡も順次開始。
個人情報保護委員会・総務省へ報告および相談を実施。各社で対策の協議と導入を進行。
事案を正式公表。最大1,422万件のメールアドレス・パスワード漏えいの可能性を発表。
不正アクセスの確認から公表まで約1週間あいたのは、入り口を塞ぐ技術対応や、関係各社・行政との調整を先に進めたためと考えられます。
原因は「第三者製ソフトの脆弱性」
今回の不正アクセスは、メールシステムで利用していた第三者製ソフトウェア(他社が開発したソフト)の脆弱性を悪用された手口だと説明されています。
「脆弱性(ぜいじゃくせい)」とは、ソフトウェアに存在するセキュリティ上の弱点・欠陥のことです。建物でいえば「鍵のかかっていない窓」のようなもので、攻撃者はそこを突いて内部に侵入します。自社開発のシステムではなく、外部から導入したソフトの欠陥が突かれた点が今回のポイントです。
漏れた可能性がある情報と件数
漏えいした可能性があるのは、メールサービスで作成されたメールボックスに紐づくメールアドレスとパスワードで、件数は最大1,422万件。KDDIはこの数字を「調査継続中のため最大値で記している」としており、影響範囲の特定に向けた調査は現在も続いています。今後、件数や対象が更新される可能性もあるため、各社の最新のお知らせもあわせて確認してください。
この件数には次が含まれます。
- 現在利用中のアカウント
- すでに解約したユーザーのアカウント
- 一定期間使っていない休眠アカウント
「もう解約したから関係ない」とは言い切れません。過去にこれらのサービスでメールアドレスを作ったことがある人も、念のため対象として考えておくのが安全です。
パスワードについてKDDIは「ハッシュ化・暗号化されたものも含む」と説明しています。即座に中身が読み取られるわけではありませんが、逆に言えばそのまま読める形(平文)のパスワードが含まれる可能性も否定できない書き方です。使い回している場合は楽観視せず対応しましょう。
対象となる6社のサービス
影響を受けたのは、KDDIのメール基盤を利用している以下の6社のISPサービスです。自分が使っている(使っていた)サービスが含まれていないか確認してください。
| 事業者 | 対象のメールサービス |
|---|---|
| STNet | 「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に係るメールサービス |
| KDDIウェブコミュニケーションズ | レンタルサーバー「CPI」のメールサービス |
| JCOM | 「J:COM NET」およびケーブルテレビ事業者向けメールサービス |
| 中部テレコミュニケーション | 「コミュファ光」「ビジネスコミュファ」のメールサービス |
| ニフティ | @niftyメール |
| ビッグローブ | BIGLOBEメール |
今回KDDIが公表した対象は上記6社のISPメールで、au・UQ mobileのメール(auメールなど)は対象6社に含まれていません。報道でも、これらはISP向けの本システムとは別基盤で運用され影響を受けていないと伝えられています。auユーザーの方はまず落ち着いて大丈夫です。ただし上記6社のメールを併用している場合は対応が必要です。
自分は対象? チェックの手順
- 使っている(使っていた)メールアドレスを思い出す「@nifty.com」「@biglobe.ne.jp」「@jcom.home.ne.jp」「@commufa.jp」「@pikara.ne.jp」などに心当たりがあれば対象の可能性が高いです。
- 各社からの案内を確認するKDDIは6月17日以降、対象ISP各社へ順次連絡しており、各社が公式サイトやメールで案内を出しています。利用中サービスの公式お知らせを必ず確認してください。
- 対象だと分かったら、すぐ次の対策へ下のチェックリストの順に進めれば十分です。
今すぐやるべき対策
1. メールのパスワードを変更する
最優先です。対象サービスを利用中なら、各ISPのマイページからメールパスワードを変更しましょう。新しいパスワードは他サービスと共通にしない、長く複雑な文字列にしてください。
2. 同じパスワードを使い回している他サービスも変更する
今回いちばん怖いのが「パスワードの使い回し」です。漏れた組み合わせを使い、攻撃者が通販・SNS・ネットバンキングなど他サービスへ次々ログインを試みる手口(パスワードリスト攻撃)があります。同じパスワードのサービスはすべて別々に変えましょう。
3. 二段階認証(2要素認証)を設定する
パスワードに加えSMSやアプリのコードを要求する二段階認証を設定すれば、万一パスワードが漏れても不正ログインを防ぎやすくなります。
4. 不審なメール・SMSに注意する
漏えい直後は便乗したフィッシング詐欺(偽メールでパスワードやカード情報を盗む手口)が増えがちです。メール内リンクは安易に押さず、公式サイトを自分でブックマークから開いて手続きしましょう。
- 対象メールのパスワードを変更した
- 使い回していた他サービスのパスワードも変更した
- 主要サービスで二段階認証を有効にした
- 不審なメール・SMSのリンクは開かないと決めた
もう一歩進んだ「長期的な備え」
対応が一段落したら、再発に強い状態をつくっておくと安心です。難しい知識は不要で、次の3つを意識するだけで今後の被害を最小限にできます。
パスワードはサービスごとに別々にする
すべて覚えるのは大変なのでパスワード管理アプリの利用がおすすめです。長くてバラバラなパスワードを自動で作って保管してくれます。ブラウザやスマホ標準の機能でも十分役立ちます。
重要なサービスから二段階認証を固める
メール・ネットバンキング・主要SNS・通販など「乗っ取られると影響が大きいもの」から優先的に設定しましょう。
「自分の情報が漏れていないか」を時々チェックする
メールアドレスが過去の漏えいに含まれていないか調べられる無料サービスもあります。定期的に確認し、見つかったら速やかにパスワードを変えましょう。
コメント