KDDIのメールシステムに不正アクセス 最大1422万件情報漏えいの恐れ：メールアドレス／パスワードが漏えいか

KDDIは、ISP事業者用メールシステムへの不正アクセスを確認した。第三者製ソフトウェアの脆弱性を悪用された結果、最大1422万件のメールアドレスとパスワードが漏えいした可能性があるという。

[＠IT]

　KDDIは2026年6月23日、ISP（インターネットサービスプロバイダー）事業者に提供するメールシステムへの不正アクセスにより、利用者の電子メール関連情報が外部に漏えいした可能性があると発表した。

　同社によると、不正アクセスは2026年6月17日に確認された。被害拡大防止のため同日中にシステムを改修し、不正アクセスの被疑箇所を特定し、技術的な防御措置を講じたという。

第三者製ソフトの欠陥が侵入口に　最大1422万件の情報が漏えいか

　調査の結果、不正アクセスはシステムで利用していた第三者製ソフトウェアの脆弱（ぜいじゃく）性を悪用したものと判明した。これにより、メールサービス利用に必要な利用者のメール関連情報が漏えいした可能性が生じた。影響範囲の特定などに向けた調査は継続中だ。

　同社は関係法令に基づき、個人情報保護委員会や総務省への報告・相談を含む対応を実施している。

　対象となるのは6社のISP事業者が提供するメールサービスで、STNetの「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に関連するメールサービス、KDDIウェブコミュニケーションズのレンタルサーバ「CPI」のメールサービス、JCOMの「J:COM NET」およびケーブルテレビ事業者向けメールサービス、中部テレコミュニケーションのコミュファ光・ビジネスコミュファのメールサービス、ニフティの「@niftyメール」、ビッグローブの「BIGLOBEメール」が含まれる。

　漏えいした可能性がある情報は、対象メールサービスで作成されたメールボックスにひも付くメールアドレスとパスワードで、件数は最大1422万件に上る。解約済み利用者や長期間利用実績のない休眠利用者の情報も含まれる。パスワードにはハッシュ化や暗号化されたものも含まれている。調査が継続中であるため、公表件数は現時点での最大値としている。

　KDDIは2026年6月17日以降、対象となるISP事業者に順次連絡し、対策内容の協議と導入も進めている。

　同社はシステムへの技術的な防御措置を講じたが、メールアドレスやパスワードが第三者に不正取得された可能性は否定できないとしている。そのため、利用者の情報保護と将来的なリスク低減の観点から、メールパスワードの変更が必要だとしている。

　利用者には、契約先のISP事業者が提供する案内を確認し、速やかに対応するよう呼びかけている。KDDIは今後も対象ISP事業者と連携し、利用者への周知やパスワード変更対応を続ける方針を示した。