1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード 最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響

KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード 最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響

セキュリティニュース

投稿日時: 更新日時:

KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響

KDDIは2026年6月23日、同社がインターネットサービスプロバイダー(ISP)事業者向けに提供するメールシステムが不正アクセスを受け、

メールアドレスとパスワードが最大1,422万件漏洩した可能性があると発表しました。

影響を受けたのは

  • ニフティの@niftyメール
  • ビッグローブのBIGLOBEメール
  • JCOMのJ:COM NET
  • 中部テレコミュニケーションのコミュファ光・ビジネスコミュファ
  • STNetのピカラ関連メール
  • KDDIウェブコミュニケーションズのレンタルサーバーCPIメールサービス

の計6社です。

不正アクセスは6月17日に確認され、同日中にシステム改修と技術的な防御措置が実施されています。原因はメールシステムで利用していた第三者製ソフトウェアの脆弱性が悪用されたことによるものです。KDDIが自社で運営するauやUQ mobileのメールサービスは別基盤で管理されており、今回の影響は受けていません。

サマリー

  • 発表日:2026年6月23日
  • 発表元:KDDI株式会社
  • 不正アクセス確認日:2026年6月17日(同日中に改修・防御措置を実施)
  • 原因:メールシステムで利用していた第三者製ソフトウェアの脆弱性を悪用
  • 漏洩の可能性がある情報:メールアドレスとパスワード 最大1,422万件
    • ※解約済み・休眠アカウントを含む
    • ※パスワードにはハッシュ化・暗号化されたものも含まれる
    • ※調査継続中のため最大値で記載
  • 影響を受けた6社:
    • ニフティ(@niftyメール)
    • ビッグローブ(BIGLOBEメール)
    • JCOM(J:COM NET・ケーブルテレビ事業者向けメールサービス)
    • 中部テレコミュニケーション(コミュファ光・ビジネスコミュファ)
    • STNet(ピカラ光・ピカラモバイル・お仕事ピカラ)
    • KDDIウェブコミュニケーションズ(レンタルサーバーCPIのメールサービス)
  • au・UQ mobileのメールサービス:別基盤で管理されており影響なし
  • 個人情報保護委員会・総務省への報告:対応中
  • ニフティは6月25日23:59までのパスワード変更を要請、期限後は順次パスワードを無効化すると告知

何が起きたか

2026年6月17日、KDDIはISP事業者向けに提供しているメールシステムが不正アクセスを受けていたことを確認しました。

このメールシステムはKDDIが裏側の基盤を運営し、複数のISP事業者がその上でエンドユーザー向けのメールサービスを提供するという構造になっています。つまりKDDIは直接エンドユーザーに見える存在ではなく、各ISPの「メールの裏側」を動かしているインフラ提供者です。

不正アクセスを確認した同日中に、KDDIはシステムの改修と被疑箇所の特定・技術的な防御措置を実施しています。発覚から対策実施までが同日という対応速度は評価できる一方で、不正アクセスが実際にいつ始まっていたのかについては公表されておらず、攻撃者がデータを取得できた期間は現時点では不明です。

影響を受けたのは@niftyメール、BIGLOBEメール、J:COM NET、コミュファ光、ピカラ、CPIの6社のメールサービスで、漏洩の可能性がある情報はメールボックスに紐づくメールアドレスとパスワードの最大1,422万件です。この数値には現在利用中のアカウントだけでなく、すでに解約した利用者や長期間使われていない休眠アカウントも含まれています。パスワードについてはハッシュ化・暗号化されたものも含まれるとされていますが、すべてがハッシュ化されていたのか、一部に平文が含まれていたのかについては明示されていません。

KDDIが自社ブランドで運営するauやUQ mobileのメールサービスはこのISP事業者向けメールシステムとは別の基盤で管理されており、今回の影響は受けていないと明確に説明されています。


原因はまだ不明

KDDIの発表では「本システムにおいて利用していた第三者製のソフトウェアの脆弱性を悪用された」と説明されていますが具体的なソフトウェア名やCVE番号は公表されていません。

日本国内で相次ぐメールシステムへの不正アクセス

今回のKDDIの事案は、2025年から2026年にかけて日本国内で連続して発生しているメールシステムへの大規模な不正アクセスの最新事例です。

2025年4月には、IIJが提供する法人向けメールセキュリティサービス「IIJセキュアMXサービス」がサイバー攻撃を受け、最大6,493契約・約407万件のメールアカウント情報が漏洩の可能性があると発表されました。後の調査でActive! mailのゼロデイ脆弱性(CVE-2025-42599)が攻撃に使用されたことが判明し、総務省からの行政指導に至っています。

2025年12月には、TOKAIコミュニケーションズが提供する法人向けメールサービス「OneOffice Mail Solution」で不正アクセスが確認され、最大約357万通の隔離メールへのアクセス痕跡が見つかりました。静岡県内の自治体をはじめとする複数の委託先企業にも波及し、メールアドレスや件名の漏洩可能性が広範囲に報告されています。

2026年4月〜5月には、NTTPCコミュニケーションズが運営するWebARENA SuiteXの付帯機能「大容量ファイル転送機能」およびSuiteXの収容サーバーが相次いで不正アクセスを受け、7,446件のメールアドレスを含む認証ログやアップロードファイル4,463件が対象範囲となりました。


事案 発覚時期 対象サービス 影響規模 原因
IIJ セキュアMXサービス 2025年4月 法人向けメールセキュリティ 最大407万件(確定:約31万件) Active! mailのゼロデイ(CVE-2025-42599)
TOKAIコミュニケーションズ 2025年12月 OneOffice Mail Solution 最大約357万通 メール関連機器への不正アクセス
WebARENA(NTTPC) 2026年4月〜5月 メールホスティング付帯機能 メールアドレス7,446件ほか 調査中(サービス再構築中)
KDDI ISP向けメール 2026年6月 @nifty・BIGLOBE・J:COMなど6社 最大1,422万件 第三者製ソフトウェアの脆弱性

4つの事案に共通するのは、いずれもメールシステムに組み込まれたサードパーティ製ソフトウェアや基盤の脆弱性が攻撃の入口になっている点と、1つの基盤への侵害が複数の下流事業者・利用者に波及するサプライチェーン構造の問題です。

※WebARENAのサイバー攻撃の入り口は現段階では不明

メールシステムは長年にわたって運用され続けている基盤であるがゆえに、構成要素の老朽化や脆弱性の蓄積が起きやすく、攻撃者にとっては「一度侵入すれば大量の認証情報とメール本文を一括で取得できる」効率的な標的になっています。

関連記事






情報システム部門が取るべき対策

今回の事案に直接影響を受ける組織の対応として、@niftyメール・BIGLOBEメール・J:COM NET・コミュファ光・ピカラ・CPIのメールサービスを業務で利用している場合は、ただちにメールパスワードの変更を全利用者に対して指示してください。

ニフティは6月25日23:59を期限として設定しており、期限を過ぎると順次パスワードが無効化されてメールの送受信ができなくなる旨を告知しています。メールソフト(Outlook・Thunderbird・Macメールなど)に設定しているパスワードも新しいものに更新する必要があります。

パスワードの使い回しをしている利用者への注意喚起も必須です。漏洩したメールアドレスとパスワードの組み合わせは、他のサービスへのリスト型攻撃(パスワードスプレー・クレデンシャルスタッフィング)に即座に転用されるリスクがあります。メールパスワードと同一のパスワードを他のサービスで使用している場合は、そちらも速やかに変更するよう全社的に周知してください。

メールシステムの委託先管理の観点では、自社のメールサービスがどの事業者のどの基盤の上で動いているかを正確に把握しているかを改めて確認してください。今回のケースでは@niftyやBIGLOBEの利用者が「自社のメールサービス」として使っていたものの実態がKDDIの基盤であり、KDDIの基盤が侵害されたことで利用者が影響を受けるというサプライチェーン構造になっていました。自社のメール基盤がどこに依存しているかを把握し、依存先のセキュリティ体制と脆弱性管理の状況を確認しておくことが、この種の事案への備えになります。

不審メールへの警戒も重要です。メールアドレスの漏洩が確認された場合、そのアドレス宛てにフィッシングメールやスパムが増加する可能性があります。また、今回の事案を装ったフィッシングメール(「パスワード変更のお願い」を装い、偽のリンクに誘導するもの)が送られてくるリスクもあります。正規の案内メールかどうかを見極めるために、各ISPの公式サイトで直接情報を確認するよう利用者に案内してください。

FAQ

Q. auやUQ mobileのメールは影響を受けますか?

A. 受けません。KDDIが自社ブランドで運営するauやUQ mobileのメールサービスは、今回不正アクセスを受けたISP事業者向けメールシステムとは別の基盤で管理されており、影響はないとKDDIが明示しています。

Q. パスワードが漏洩したとのことですが、すべて平文ですか?

A. KDDIの発表では「パスワードには、ハッシュ化・暗号化されたものも含まれます」と記載されています。すべてのパスワードがハッシュ化されていたのか、一部に平文が含まれていたのかについては明示されていません。いずれにしても攻撃者がハッシュを入手していればオフラインでの解析が試みられる可能性があるため、パスワード変更は必須です。

Q. メール本文も漏洩していますか?

A. 2026年6月23日の発表時点では、漏洩の可能性があると明示されているのはメールアドレスとパスワードです。メール本文については言及されていませんが、調査は継続中とされており、続報で追加情報が出る可能性があります。

Q. 既に解約しているのですが影響はありますか?

A. 漏洩の可能性がある最大1,422万件には、解約済みの利用者や休眠アカウントも含まれるとKDDIが明記しています。過去にこれらのメールサービスを利用していた場合、当時のメールアドレスとパスワードが対象に含まれている可能性があります。同じパスワードを他のサービスで使い続けている場合は変更を推奨します。

出典

関連記事

TOKAIコミュニケーションズ、法人向けメール製品へ不正アクセス 最大356万9,937通が情報漏洩の恐れTOKAIコミュニケーションズ、法人向けメール製品へ不正アクセス 最大356万9,937通が情報漏洩の恐れ エロビデオ通話のKyuunなどサイバー攻撃で3万9,267件の個人情報漏洩-ハッカーが不正アクセスを主張エロビデオ通話のKyuun サイバー攻撃で3万9,267件の個人情報漏洩-ハッカーが不正アクセスを主張 CapCutの新利用規約で浮き彫りになる「著作権放棄」のリスク-コンテンツの使用権がバイトダンスに自動許諾CapCutの危険性とは-新利用規約で浮き彫りになる「著作権放棄」のリスク エプスタインに関わる情報漏洩と関連する日本人のまとめ-エプスタイン文書では伊藤 穰一氏、林 千晶氏、田中 美歌氏のアテンド記録もエプスタインの情報漏洩と関連する日本人のまとめ-エプスタイン文書では松本 大氏や伊藤 穰一氏、林 千晶氏のアテンド記録も TOKAIコミュニケーションズ、OneOffice Mail Solutionへの不正アクセス-最大約8万件のメールアドレスなど漏洩TOKAIコミュニケーションズ、OneOffice Mail Solutionへの不正アクセス-最大約8万件のメールアドレスなど漏洩 JavaScript ライブラリ axiosのnpmパッケージが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要JavaScript ライブラリ axiosのnpmが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要 Insecamとは?概要を解説Insecamとは 世界のWEBカメラ/監視カメラを閲覧できるサイト ルイ・ヴィトン(Louis Vuitton) 日本、不正アクセスによるサイバー攻撃で個人情報漏洩の可能性ルイ・ヴィトン(Louis Vuitton) 日本、不正アクセスによるサイバー攻撃で個人情報漏洩の可能性 日本・メキシコ、100万バレルの原油緊急輸入で合意-ホルムズ海峡封鎖が突き動かしたエネルギー外交の全貌日本・メキシコ、100万バレルの原油緊急輸入で合意-ホルムズ海峡封鎖が突き動かしたエネルギー外交の全貌