KDDIは2026年7月6日、インターネットサービスプロバイダー(ISP)事業者向けに提供するメールシステムが不正アクセスを受けた問題で、電子メールアドレス1223万3087人分の漏えいが確認されたと発表した。このうち761万6173人分についてはパスワードの漏えいも確認された。KDDIが確認のきっかけをつかんだ時点では、悪用されたソフトウェアの脆弱性はベンダーすら把握していない「未知」のものだったという。同社は同日、電気通信事業法に基づき総務省へ報告書を提出した。
何が起きたのか
問題となったのは、KDDIがISP事業者向けに開発・提供しているメール基盤である。メールアカウントの管理、メールの送受信、WEBメール機能、メールデータの保存といった各種機能を一体で提供するシステムだ。個々のISP事業者は、このKDDIの基盤の上で自社ブランドのメールサービスを顧客に届けている。
KDDIの説明によれば、攻撃者はこのシステムの一部として導入されていた第三者製ソフトウェアの脆弱性を悪用した。不正アクセスは一部のISP事業者において2026年5月16日から発生しており、KDDIがこれを確認したのは6月17日だった。同社は確認したその日のうちに、被害拡大を防ぐためシステムを改修し、被疑箇所を特定したうえで技術的な防御措置を講じたとしている。
深刻だったのは、悪用された脆弱性が確認時点で「未知」だったという点である。KDDIは「本脆弱性は当社確認のタイミングとなる2026年6月17日時点では、本ソフトウェアベンダーが認識していない脆弱性でした」と説明している。いわゆるゼロデイ脆弱性が突かれた形だ。ソフトウェアベンダーは現在、この脆弱性について公的機関への届け出を行い、情報公開に向けた取り組みを進めているという。
漏えいが確認された情報と規模
KDDIはこの問題を最初に6月23日に公表しており、その時点では「漏えいした可能性のあるメール関連情報」を最大1422万件と説明していた。この数字には、すでに解約した顧客や一定期間利用のない休眠顧客も含まれ、パスワードにはハッシュ化・暗号化されたものも含まれるとされていた。あくまで調査継続中の最大値という位置づけだった。
7月6日の発表は、その後の調査で「漏えいした事実が確認された情報および人数」を明らかにしたものだ。確認された内訳は、本システムで作成された電子メールアドレスが1223万3087人分、パスワードが761万6173人分(アドレス漏えい人数の内数)である。
対象となるISP事業者は、6月23日の公表時点で6社が挙げられている。具体的には、STNet(ピカラ光サービスなどのメールサービス)、KDDIウェブコミュニケーションズ(レンタルサーバー「CPI」のメールサービス)、JCOM(「J:COM NET」およびケーブルテレビ事業者向けメールサービス)、中部テレコミュニケーション(コミュファ光・ビジネスコミュファのメールサービス)、ニフティ(@niftyメール)、ビッグローブ(BIGLOBEメール)である。
一方でKDDIは、モバイルおよび固定インターネットのメールサービス、すなわちauメール、UQ mobileメール、au one netメールについては、異なる設備で構築されているため今回の不正アクセスによる影響や情報の漏えいはないとしている。
利用者への対応と再発防止策
KDDIは不正アクセス確認後、ISP事業者と連携して対象顧客のメールアカウントのパスワード変更対応を進めてきた。日常的にメールを利用する顧客を中心にすでに多数のパスワード変更が行われたとしたうえで、あまり利用しない顧客も含めた安全確保のため、ISP事業者による強制的なパスワード変更を「一両日中の完了を目途に」進めていると7月6日時点で説明した。
再発防止に向けた実施済みの対策として、KDDIは6月17日のシステム改修に加え、6月21日に外部通信を制御する全サーバーへのEDR(Endpoint Detection and Response)導入を完了。6月23日には第三者機関によるフォレンジック調査を通じ、当該脆弱性以外に不審な痕跡が存在しないことを確認したとしている。今後は、問題となったソフトウェアの設計書やプログラムをAIも活用して網羅的に分析し、潜在的な不具合や欠陥がないかを細部まで確認するという。さらに抜本策として、ISP事業者とともに、よりセキュリティ強度の高い通信規格への移行を早期に進める方針を示している。
行政の動きも速かった。総務省は6月24日、電気通信事業法第166条第1項に基づきKDDIに報告を求めており、KDDIは7月6日にその報告書を提出した。今回の発表は、この報告書提出と歩調を合わせたものといえる。
この事案が突きつける論点
今回のインシデントは、通信インフラを支える「共通基盤」がひとたび破られたときの影響範囲の広さを浮き彫りにした。KDDI自身のブランドサービスではなく、複数のISP事業者に卸されているメール基盤が標的になったことで、被害はKDDI一社にとどまらず6社のサービス利用者に一気に及んだ。B2B2Cの構造をとるサービスでは、基盤提供者の一点突破が下流の多数の利用者に波及する。サプライチェーン型のリスクが改めて示された格好だ。
加えて、悪用されたのが確認時点でベンダー未把握の未知の脆弱性だったという点は、防御側にとって重い意味を持つ。既知の脆弱性であればパッチ適用で防げるが、ゼロデイに対しては、侵入を前提とした検知・封じ込めの体制がものを言う。KDDIが確認当日にシステムを改修し、数日内にEDR導入とフォレンジック調査を進めた対応の速さは、この観点から評価できる部分だろう。ただし、初期侵入とみられる5月16日から確認の6月17日まで約1カ月の開きがあった事実は、検知の難しさと同時に、検知力向上の余地も示している。
利用者側にできる最も確実な自衛策は、指示に従った速やかなパスワード変更と、同じパスワードを他サービスで使い回さないことである。漏えいしたメールアドレスとパスワードの組み合わせは、他サービスへの不正ログインを試みる「パスワードリスト攻撃」に悪用されうるためだ。
出典・参考リンク
- KDDI 報道発表資料(2026年7月6日)「ISP事業者向けメールシステムに対する不正アクセスについてのお詫びとご報告」
- KDDI 報道発表資料(2026年6月23日)「ISP事業者向けメールシステムに対する不正アクセスの発生について」
- 総務省「KDDI株式会社に対する報告徴収」(2026年6月24日)
- ITmedia Mobile「KDDIのメールシステム不正アクセス、約1223万件のアドレス/約762万のパスワードが漏えい」
- ケータイ Watch「KDDIのISP向けメール基盤不正アクセス、最大1422万件漏洩の可能性で総務省が報告求める」
- 日本経済新聞「KDDI、761万人分のパスワード漏洩確認 不正アクセスで」
