Table of Contents
KDDIは2026年6月23日、ISP(インターネットサービスプロバイダー)事業者向けに提供しているメールシステムが不正アクセスを受け、本メールサービスの利用に必要なお客さまのメール関連情報の一部が外部に漏えいした可能性があると発表しました。対象はピカラ光、CPI、J:COM NET、コミュファ光、@niftyメール、BIGLOBEメールの6社で、漏えいの可能性があるメールアドレス・パスワードは最大1,422万件にのぼります。本記事では、自分が当事者かどうかの確認ポイントと、すぐにやるべきことを整理してお伝えします。
何が起きたのか
KDDIの発表によると、ISP事業者向けに提供しているメールシステムが不正アクセスを受けていたことを、2026年6月17日に確認しました。同日中に被害拡大を防止するためのシステム改修を実施し、被疑箇所を特定して技術的な防御措置を講じています。
調査の結果、本件不正アクセスはメールシステムが利用していた第三者製ソフトウェアの脆弱性を悪用されたものであり、本メールサービスの利用に必要なお客さまのメール関連情報が漏えいした可能性があることが判明したと説明されています。KDDIは引き続き、影響範囲の特定に向けて調査を継続しているとのことです。
また、関係法令などに基づき、個人情報保護委員会および総務省への報告・相談を含む必要な対応を進めているとしています。
対象のISP事業者と対象サービス
対象のISP事業者と本メールサービスは、以下の6社です(KDDI発表は五十音順)。
| ISP事業者 | 対象のメールサービス |
|---|---|
| 株式会社STNet | ピカラ光サービス、ピカラモバイルサービス、お仕事ピカラサービスに係るメールサービス |
| 株式会社KDDIウェブコミュニケーションズ | レンタルサーバー「CPI」のメールサービス |
| JCOM株式会社 | J:COM NETおよびケーブルテレビ事業者向けメールサービス |
| 中部テレコミュニケーション株式会社 | コミュファ光・ビジネスコミュファのメールサービス |
| ニフティ株式会社 | @niftyメール |
| ビッグローブ株式会社 | BIGLOBEメール |
普段これらのメールアドレス(@nifty.com、@biglobe.ne.jp、@jcom.home.ne.jp、@commufa.jp、@pikara.ne.jp など)でメールを送受信している方は、自分が対象である可能性が高い、と考えておくのが安全です。
漏えいした可能性のある情報
KDDIが「漏えいの可能性がある」としているのは、本メールサービスにて作成されたメールボックスに紐づくメールアドレスとパスワード、最大1,422万件です。次の点も明記されています。
・すでに解約したお客さまや、一定期間利用のない休眠中のお客さまの情報も含まれる
・パスワードには、ハッシュ化・暗号化されたものも含まれる
・調査継続中のため最大値として記載している(影響範囲は今後の調査で変動する可能性あり)
パスワードはハッシュ化や暗号化されているケースも含まれていますが、KDDI自身が「第三者に不正取得されている可能性がある」と明言しており、利用者側で対策を取ることが推奨されています。
利用者がすぐにやるべきこと
KDDIは「お客さまのデータを確実に保護し、将来的・潜在的なリスクを排除するために、お客さまのメールパスワードの変更が必要となります」と案内しています。対象サービスを利用している方は、各ISP事業者からの案内を確認した上で、早急にメールパスワードを変更してください。
あわせて、次の対応を検討すると安心です。
・同じパスワードを他のサービス(ネット銀行、ECサイト、SNS、クラウドサービスなど)で使い回している場合は、そちらも別のパスワードに変更する
・身に覚えのないログイン通知、不審なメール、フィッシングを装うリンクに注意する
・主要サービスでは可能な限り二段階認証(2要素認証)を有効にする
・各ISPからの公式案内以外で「パスワードを入力してください」と求めるメール・サイトには情報を入力しない
不正取得されたメールアドレスとパスワードの組み合わせは、他サービスへのパスワードリスト型攻撃に転用されるリスクがあります。同じ組み合わせを使い回さないことが、今回のような事案で被害を最小化する基本になります。
各ISP事業者からの案内を待つ
KDDIは2026年6月17日以降、対象のISP事業者へ順次連絡を行っており、対策に関する協議および対策導入を進めていると説明しています。
各ISP事業者から正規のチャネル(公式サイトのお知らせ、登録メールアドレス宛の正規メール、マイページ上の通知など)で具体的な手順案内が出されると考えられます。検索結果やSNSで流れてくる情報ではなく、必ず利用中のISPの公式お知らせページを起点に行動してください。
まとめ
今回の不正アクセスは、KDDIがISP事業者向けに提供している裏側のメールシステムで発生したもので、@nifty・BIGLOBE・J:COM NET・コミュファ光・ピカラ光・CPIといった、長く広く使われてきたメールサービスの利用者が広範に対象になる可能性があります。心当たりがある方は、案内を待ちつつ、まずはメールパスワードを変更し、他サービスでの使い回しを解消するところから始めるのが現実的です。
続報や各ISPの正式案内については、必ずKDDIの公式ニュースルームと、利用中のISPの公式お知らせを確認してください。
Source: KDDI 報道発表資料(PDF) / 画像: Photo by FlyD on Unsplash
あわせて読みたい関連記事
テック・スマートデバイス業界の最新ニュースを追いかけたい方はこちらから。
業界動向の背景や分析を深掘りした記事はこちら。
パスワード管理やセキュリティ周りなど、PC・スマホの活用術はこちら。
スマートウォッチを含む各種ガジェットの最新情報は、Smart Watch Lifeトップページから。
はじめての方・記事の探し方に迷った方へ
記事が多くて迷ったら、
記事の探し方ガイド
から目的別に読めます。
