KDDIは2026年6月23日、インターネットサービスプロバイダー(ISP)事業者向けに提供しているメールシステムが不正アクセスを受け、利用者のメールアドレスとパスワード最大1,422万件が外部に漏えいした可能性があると発表した。影響は@niftyやBIGLOBE、J:COMなど6社のメールサービスに及び、対象となる利用者にはパスワードの早急な変更が呼びかけられている。自社サービスの規模を超えて「基盤を支える事業者」が攻撃を受けたことで、一社の侵害が複数のISP利用者へ連鎖する構図が改めて浮き彫りになった。
何が起きたのか
KDDIの発表によると、同社がISP事業者向けに提供するメールシステムが不正アクセスを受けていたことを、2026年6月17日に確認した。同社は同日中に被害拡大を防止するためシステムを改修し、不正アクセスの被疑箇所を特定したうえで技術的な防御措置を実施したとしている。
調査の結果、今回の不正アクセスは、このメールシステムで利用していた第三者製ソフトウェアの脆弱性を悪用されたことによるものと判明した。これにより、メールサービスの利用に必要となる利用者のメール関連情報が漏えいした可能性があるという。KDDIは引き続き影響範囲の特定などに向けて調査を続けているとしている。
漏えいした可能性のある情報
漏えいした可能性があるのは、対象メールサービスで作成されたメールボックスに紐づくメールアドレスとパスワードで、件数は最大1,422万件に上る。KDDIは調査を継続中のため、この数字は最大値として示したものだと説明している。
この件数には、すでに解約した利用者や、一定期間利用のない休眠状態の利用者も含まれる。また、パスワードについては、ハッシュ化・暗号化されたものも含まれるとしている。報道では、メールの本文など中身が閲覧された可能性にも言及されているが、KDDIの公式発表ではあくまで「メールアドレス・パスワード」が漏えいの可能性がある情報として挙げられている。
影響を受ける6社のサービス
KDDIが公表した対象のISP事業者およびメールサービスは、以下の6社(五十音順)である。
株式会社STNetの「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に係るメールサービス、株式会社KDDIウェブコミュニケーションズのレンタルサーバー「CPI」のメールサービス、JCOM株式会社の「J:COM NET」およびケーブルテレビ事業者向けメールサービス、中部テレコミュニケーション株式会社のコミュファ光・ビジネスコミュファのメールサービス、ニフティ株式会社の@niftyメール、ビッグローブ株式会社のBIGLOBEメールである。
KDDIによれば、自社で提供する電子メールサービスの基盤はこれらとは別で運用されており、報道でも今回の対象には含まれないと整理されている。KDDIは2026年6月17日以降、対象のISP事業者に順次連絡を行い、対策に関する協議および対策導入を進めているとしている。
利用者がいま取るべき対応
KDDIは、システムに対する技術的な防御措置は実施済みとしながらも、今回の不正アクセスによって利用者のメールアドレスおよびパスワードが第三者に不正取得されている可能性があると認めている。そのうえで、データを確実に保護し将来的・潜在的なリスクを排除するために、メールパスワードの変更が必要になると明言した。対象となる利用者は、各ISP事業者から提供される情報を確認のうえ、早急に対応するよう求められている。
セキュリティの観点では、同じパスワードを他のサービスで使い回している場合、流出した認証情報を使った「パスワードリスト攻撃」によって被害が連鎖する恐れがある。対象サービスの利用者は、当該メールのパスワード変更に加えて、同じパスワードを設定している他サービスのパスワードも変更しておくことが望ましい。
サプライチェーンとしてのメール基盤というリスク
今回の事案で見過ごせないのは、攻撃を受けたのがKDDI自身のエンドユーザー向けサービスではなく、複数のISPに「裏側で」メール基盤を提供するシステムだったという点だ。一つの共通基盤が侵害されると、その上に乗る複数の事業者の利用者がまとめて影響を受ける。1,422万件という規模感は、まさにこの集約構造を反映している。
また、原因が「第三者製ソフトウェアの脆弱性」であった点も示唆的だ。自社開発でないコンポーネントであっても、それを採用してサービスを提供する以上、脆弱性管理の責任からは逃れられない。利用するソフトウェア部品の脆弱性をいかに迅速に把握し、修正を適用するかという、いわゆるソフトウェアサプライチェーンの管理が、事業継続と信頼維持の前提条件になりつつあることを、この事案は改めて突きつけている。