週刊TAKAPI編集部／担当記者：成田

KDDIは2026年6月23日、インターネットサービスプロバイダー向けに提供しているメールシステムが、外部から不正アクセスを受けたと発表した。漏えいした可能性があるのは、メールボックスに紐づくメールアドレスとパスワードで、影響は最大1,422万件にのぼるおそれがある。

KDDIによると、不正アクセスを確認したのは6月17日。同社は同日、被害拡大を防ぐためシステムを改修し、不正アクセスが疑われる箇所を特定したうえで、防御措置を講じた。原因は、システムで使用していた第三者製ソフトウェアの脆弱性を悪用されたものとみられている。

影響を受けるのは、STNetのピカラ光関連サービス、KDDIウェブコミュニケーションズのCPI、J:COM NET、中部テレコミュニケーションのコミュファ光・ビジネスコミュファ、@niftyメール、BIGLOBEメールなど6事業者のメールサービス。解約済みや長期間利用されていない休眠アカウントも含まれる。

今回の問題で深刻なのは、メールアドレスだけでなく、パスワードも対象に含まれる点だ。メールアドレスは、通販サイト、SNS、金融サービス、行政手続きなど、別サービスのログインIDとして使われることが多い。もし同じパスワードを使い回していれば、メールだけでなく、他サービスへの不正ログインや乗っ取りにつながる危険がある。

各事業者は利用者に対し、メールパスワードの変更を呼びかけている。特に@niftyでは、期限までに変更が確認できない場合、メールパスワードを順次無効化する対応を取る方針を示している。

利用者が今すぐ行うべきことは明確だ。対象サービスのメールパスワードを変更する。同じパスワードを使っている他サービスも変更する。不審なログイン通知、パスワード再設定メール、身に覚えのない認証メールに警戒する。

通信インフラを支えるメールシステムで起きた今回の不正アクセスは、単なる情報漏えいでは済まない。メールは個人の生活情報と認証の入口でもある。KDDIと各ISPには、影響範囲の早期特定と、利用者への分かりやすい説明が求められる。

本記事は、KDDI公式発表、対象ISP各社の案内、各社報道をもとに構成しています。調査中の内容を含むため、今後の発表により内容が更新される可能性があります。

ベネッセの教訓は学校に届いているか　牧之原市相良中1000万円不正送金、神田小1850人情報漏洩のおそれ

【続報】牧之原市立相良中学校ネットバンキング詐欺被害　保護者説明会で口座情報閲覧の可能性を説明　生徒個人情報の流出は確認されず

編集部まとめ

今回のKDDI不正アクセスは、影響件数の大きさだけでなく、メールアドレスとパスワードが対象に含まれる点が深刻です。

メールアカウントは、SNS、通販、金融サービス、行政手続きなど、さまざまなサービスのログインIDや本人確認に使われます。つまり、メールの情報が悪用されれば、別サービスへの不正ログインやアカウント乗っ取りにつながる危険があります。

特に注意すべきなのは、同じパスワードの使い回しです。対象メールサービスを利用している人は、まずメールパスワードを変更し、同じパスワードを使っている他サービスもすぐに見直す必要があります。

KDDIと各ISPには、影響範囲の早期特定、利用者への分かりやすい通知、二次被害を防ぐための継続的な情報提供が求められます。今回の問題は、通信インフラの信頼性そのものが問われる重大なサイバー事案です。

Q1. KDDIの不正アクセスで何が漏えいした可能性がありますか？
A. ISP向けメールシステムに登録されたメールアドレスとパスワードが、最大1,422万件漏えいした可能性があります。

Q2. 対象となるサービスはどこですか？
A. STNet、KDDIウェブコミュニケーションズ、J:COM、中部テレコミュニケーション、ニフティ、ビッグローブの6事業者のメールサービスが対象です。

Q3. 利用者は何をすればいいですか？
A. 対象メールサービスのパスワードを変更し、同じパスワードを使っている他サービスも変更する必要があります。

Q4. 解約済みや休眠アカウントも対象ですか？
A. 対象には、解約済みや長期間利用されていない休眠アカウントも含まれるとされています。

Q5. なぜメールパスワード漏えいは危険ですか？
A. メールは他サービスのログインIDやパスワード再設定に使われるため、不正ログインやアカウント乗っ取りにつながるおそれがあります。

【続報】高知市立神田小学校でサポート詐欺被害　児童・保護者ら約1800人分の個人情報が外部閲覧されたおそれ