インシデント概要と影響範囲
@niftyは、メールサービスへの外部からの不正アクセスにより、メールアドレスと「メールパスワード」が第三者に漏えいした可能性があると公表した。原因は、提供基盤(KDDIの基盤システム)に存在した脆弱性を悪用されたことによるものだ。現時点で、氏名や住所など会員情報への不正アクセスは確認されていないとしている。
ただしメールパスワードが第三者に渡った場合、IMAP/POP/SMTPを介した不正ログイン、メール内容の閲覧、なりすまし送信、他サービスのパスワードリセット悪用など二次被害につながり得る。特に業務連絡で当該メールを利用している場合、取引先への詐欺メール拡散や情報漏えいの起点になり得るため注意が必要である。
「メールパスワード」と「ログインパスワード」の違い
今回対象となるのは、@niftyメールサービスでメールソフト設定等に用いる「メールパスワード」である。@nifty IDで会員ページ等へログインする「ログインパスワード」とは別の認証情報として扱われる。したがって、ログインパスワードを変更してもメールパスワードが残っていれば、メール送受信経路のリスクは残存する。
一方で、両者に同一文字列を使い回している場合は、資格情報の横展開が起きる。自社ユーザーが個人メールを業務に転用しているケースでは、社内SaaSや他サービスへのパスワード使い回しがないか、利用実態の棚卸しも必要である。
期限とアカウント無効化に備えた運用
ニフティは対象者に対し、2026年6月25日23時59分までにメールパスワードを変更するよう案内している。期限までに変更が確認できないアカウントは、6月26日0時以降に順次、現在のメールパスワードが無効化される。無効化後は従来の設定では送受信不能となり、業務停止につながる恐れがある。
情シスとしては、対象ユーザーの把握、変更手順の周知、メールクライアント(PC/スマホ、共有端末含む)の再設定計画を事前に用意したい。共用アカウント運用がある場合は、担当変更時の引き継ぎや端末側の保存パスワードの更新漏れが発生しやすく、早期の再設定が望ましい。
情シス向け推奨アクション
- パスワード変更の徹底:案内対象者は期限内にメールパスワードを変更し、変更後に各端末の送受信確認まで実施する。
- 使い回しの洗い出し:同一文字列をログインパスワードや他サービスで利用していないか確認し、該当する場合は関連パスワードも速やかに変更する。
- 不審挙動の監視:送受信履歴や通知の確認、取引先からの「不審メール」申告受付、なりすまし兆候の有無を点検する。
- 便乗フィッシング対策:変更案内を装う偽メールに注意喚起し、社内ではリンク誘導ではなく公式手順を周知する。