KDDI、最大1422万件のメール情報漏えいの可能性 パスワード変更を呼びかけ

KDDIが提供するISP事業者向けメールシステムへの不正アクセスが発覚し、最大1422万件のメールアドレスやパスワードが漏えいした可能性があることが分かった。対象6社の利用者にはパスワード変更を呼びかけている。

[キーマンズネット]

　KDDIは2026年6月23日、同社がインターネットサービスプロバイダー（ISP）事業者向けに提供しているメールシステムに対し、不正アクセスが発生し、利用者のメールアドレスやパスワードなど最大1422万件の情報が外部に漏えいした可能性があると発表した。

　同社によると、不正アクセスを確認したのは同年6月17日。同日中に被害拡大防止のためシステムの改修を実施し、不正アクセスの被疑箇所を特定した上で技術的な防御措置を講じたという。

KDDI基盤のメールサービス6社で、即時パスワード変更を呼びかけ

　調査の結果、攻撃者はメールシステムで利用していた第三者製ソフトウェアの脆弱（ぜいじゃく）性を悪用したとみられる。この影響により、各ISP事業者が提供するメールサービスの利用に必要なメール関連情報が漏えいした可能性が判明した。

　漏えいした可能性がある情報は、メールボックスに紐づくメールアドレスおよびパスワードで、件数は最大1,422万件に上る。対象には解約済みの利用者や長期間利用のない休眠アカウントも含まれる。パスワードについては、ハッシュ化または暗号化された状態のものも含まれているとしている。なお、調査は継続中であり、現時点では最大値として公表している。

　今回の影響を受けるISP事業者およびメールサービスは以下の6社。

• STNet（ピカラ光サービス、ピカラモバイルサービス、お仕事ピカラサービスのメールサービス）
• KDDIウェブコミュニケーションズ（レンタルサーバー「CPI」のメールサービス）
• JCOM（J NETおよびケーブルテレビ事業者向けメールサービス）
• 中部テレコミュニケーション（コミュファ光・ビジネスコミュファのメールサービス）
• ニフティ（@niftyメール）
• ビッグローブ（BIGLOBEメール）

　KDDIは現在、対象となるISP事業者に対して順次連絡を行うとともに、再発防止策や利用者向け対応について協議を進めている。また同社は、「顧客のデータを確実に保護し、潜在的なリスクを排除するため、メールパスワードの変更が必要となる」としており、利用者に対し、各ISP事業者から案内される情報を確認した上で、速やかにパスワードを変更するよう呼びかけている。

　KDDIは個人情報保護委員会および総務省への報告を含む必要な対応を進めており、引き続き影響範囲の特定など詳細調査を継続するとしている。

　今回の事案は国内大手通信グループのサービス基盤における大規模な情報漏えいの可能性を示すものであり、今後の調査結果や利用者への対応が注目される。