1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 国内 ISP の認証情報を悪用したフィッシングメールが多発-KDDI のメールシステム 不正アクセスとの関連は不明

国内 ISP の認証情報を悪用したフィッシングメールが多発-KDDI のメールシステム 不正アクセスとの関連は不明

セキュリティニュース

投稿日時: 更新日時:

国内 ISP の認証情報を悪用したフィッシングメールが多発-KDDI のメールシステム不正アクセスとの関連は不明

フィッシング対策協議会は2026年6月26日、国内 ISP の認証情報(ID・メールアドレス・パスワード等)を不正利用(乗っ取り)して送信されたとみられるフィッシングメールの報告を受けているとして緊急情報を公開しました。

参考情報として KDDI 株式会社が同月23日に公表した ISP 向けメールシステムへの不正アクセス事案(最大1,422万件のメールアドレス・パスワードが漏洩した可能性)が掲載されていますが、フィッシング対策協議会は2026年6月29日の追記で「直接的な関連性は確認できていない」と明示しています。現時点ではKDDI事案と今回のフィッシングメールが直接つながっているかどうかは確認されておらず、両事案を因果関係で断定することは適切ではありません。ただし同協議会は、漏洩対象サービスを利用している場合はメールアカウントが乗っ取られる可能性があるとして、速やかなパスワード変更を呼びかけています。

サマリー

  • フィッシング対策協議会が2026年6月26日に緊急情報を公開。国内 ISP の認証情報を不正利用して送信されたとみられる VISA カード制限・Amazon アカウント制限・配送トラブルを装うフィッシングメールの報告を受けている
  • 同協議会はKDDIの ISP メールシステム不正アクセス事案(最大1,422万件漏洩の可能性)を参考情報として掲載したが、2026年6月29日の追記で「直接的な関連性は確認できていない」と明示した。両事案の因果関係は現時点で確認されていない
  • 2026年6月17日に確認されたKDDI事案では、ISP 向けメールシステムが第三者製ソフトウェアの脆弱性を突かれ、@niftyメール・BIGLOBEメール・J:COM NET・コミュファ光・ピカラ・CPIの6社メールサービス利用者のメールアドレス・パスワードが最大1,422万件漏洩した可能性がある(解約済み・休眠アカウントを含む)
  • フィッシングメールは正規 ISP のメールアドレスから送信されているとみられるため、スパムフィルターや送信ドメイン認証(SPF・DKIM)を通過しやすく、通常の不審メールより見分けが難しい
  • Claude AI・OpenAI ブランドをかたるフィッシングサイト URL も確認。2026年6月26日15時点でフィッシングサイトは稼働中
  • 漏洩対象サービスの利用者は KDDI との直接の関連有無に関わらず、速やかなパスワード変更が推奨される。漏洩した情報は犯罪者間で売買される可能性があり、メールアドレス変更の検討も選択肢として示されている
影響を受けた ISP / メールサービス 公表日
@niftyメール(ニフティ株式会社) 2026年6月23日
BIGLOBEメール(ビッグローブ株式会社) 2026年6月23日
J:COM NET・ケーブルテレビ事業者向けメール(JCOM株式会社) 2026年6月23日
コミュファ光・ビジネスコミュファ メール(中部テレコミュニケーション) 2026年6月24日
ピカラ光・ピカラモバイル・お仕事ピカラ メール(株式会社STNet) 2026年6月23日
CPI メールサービス(株式会社KDDIウェブコミュニケーションズ) 2026年6月23日
au・UQ mobile のメールサービス 影響なし(別基盤)

フィッシング対策協議会の緊急情報

フィッシング対策協議会が2026年6月26日に公開した緊急情報は、「国内 ISP の認証情報(ID・メールアドレス・パスワード等)を不正利用(乗っ取り)して送信されたとみられるフィッシングメールの報告を受けている」という内容です。

同情報には参考情報として KDDI・STNet・KDDIウェブコミュニケーションズ・JCOM・中部テレコミュニケーション・ニフティ・ビッグローブの各社プレスリリースへのリンクが掲載されています。

しかし同協議会は2026年6月29日の追記で重要な留保を加えています。

「直接的な関連性は確認できておりませんが、参考情報のような注意喚起も出ております」とした上で、「ご利用の ISP やメールサービスのホームページ上の注意喚起やニュース等を確認し、漏えい対象のサービスをお使いの場合は、メールアカウントが乗っ取られる可能性があるため、速やかにサービスのパスワード変更等を行ってください」と案内しています。

つまり現時点の整理は次の通りです。

フィッシングメールが国内 ISP のメールアカウントを乗っ取って送信されていることは確認されている一方で、

そのアカウント乗っ取りが KDDI のメールシステム不正アクセス事案によって漏洩した認証情報を直接利用しているかどうかは、フィッシング対策協議会として確認できていません。

関連:メール基盤に相次ぐ サイバー攻撃─ KDDI・IIJ・TOKAIコミュニケーションズ・WebARENAの4事案を整理

KDDI メールシステム不正アクセス事案の概要

フィッシング対策協議会が参考情報として掲載した KDDI の ISP 向けメールシステム不正アクセス事案の概要を整理します。

KDDIが ISP 事業者向けに提供するメールシステムは、@nifty・BIGLOBE・J:COM・コミュファ光・ピカラ・CPI が自社ブランドでエンドユーザーにメールサービスを提供するための共通基盤として機能しています。

エンドユーザーから見れば各 ISP のサービスを使っているように見えますが、メールの実体はKDDIが管理する共通インフラ上で動いています。この共通基盤1か所への侵害が6社・最大1,422万件という大規模な漏洩可能性に直結したのはこの集中管理構造によるものです。

2026年6月17日に不正アクセスを確認したKDDIは同日中にシステムを改修しています。

原因は「本システムにおいて利用していた第三者製のソフトウェアの脆弱性を悪用された」とされていますが、具体的なソフトウェア名やCVE番号は公表されていません。漏洩した可能性があるのはメールボックスに紐づくメールアドレス・パスワードの最大1,422万件で、解約済みや休眠アカウントも含みます。パスワードにはハッシュ化・暗号化されたものも含まれるとされていますが、すべてがハッシュ化されていたのか一部に平文が含まれていたのかは公表されていません。

なお、総務省はKDDIに対して報告徴収の行政処分を実施しており、提出期限を2026年7月6日に設定しています。

正規 ISP メールアドレスからの送信が持つ構造的な危険性

今回のフィッシングメールの特徴として、フィッシング対策協議会の緊急情報は「国内 ISP の認証情報(ID・メールアドレス・パスワード等)を不正利用(乗っ取り)して送信されたとみられる」と説明しています。

正規の ISP メールアドレスから送信されているとみられることが、通常のフィッシングとの重要な違いです。

通常のフィッシングメールは見知らぬ外部ドメインから送信されるため、受信側のメールクライアントや企業のメールゲートウェイが不審メールとして自動判定したり、受信者自身が差出人ドメインを見て違和感を持ちやすい状況があります。

しかし正規の ISP メールアドレスから送信されているとみられる今回の場合、送信ドメイン認証技術(SPF・DKIM・DMARC)は実際に正規の ISP メールサーバーから送信されているとみられるため「合格」と判定される可能性があります。スパムフィルターが送信元の評判スコアに依存している場合も、正規 ISP ドメインは高評判であるため通過しやすくなります。

確認されているフィッシングメールの件名は VISA カード関連(「【重要】VISA力一ド ご利用制限のお知らせ」)、Amazon 関連(「【重要】お客様のAmazonアカウントが一時的に制限されています」「【Amazon.co.jp】お支払い方法の確認が必要です — アカウント利用制限中」)、配送関連(「荷物のお届けに問題がございます」「お届け予定の荷物に問題が見つかりました」「お届け中の荷物に異常が確認されました」)などが報告されており、これ以外の件名も使われている可能性があります。

フィッシングサイトの URL としては VISA・Amazon・宅配業者を装うものに加え、「claudeai.●●●●.com」「openai.●●●●.com」のような AI ブランドをかたる URL も確認されています。

対応が必要な方への行動指針

フィッシング対策協議会の指示に従って対応すべき内容を整理します。フィッシング対策協議会は KDDI との直接的な関連有無に関わらず、以下の対応を推奨しています。

利用している ISP やメールサービスのホームページ上の注意喚起やニュースを確認してください。

特に@nifty・BIGLOBE・J:COM・コミュファ光・ピカラ・CPI のいずれかのメールサービスを現在または過去に利用したことがある場合は、メールアカウントが乗っ取られる可能性があるとして速やかなパスワード変更が求められています。

パスワード変更はメールで届いたリンクから行わないことが重要です。

フィッシング対策協議会が明示しているように「もしご利用のサービスからメール等で連絡が来た場合は、メール等のリンクからではなく、すでにご利用のアプリやブラウザーのブックマークからサービスへアクセスして設定する」ことを徹底してください。本件に便乗した「パスワード変更のご案内」を装ったフィッシングメールが届く可能性があります。

パスワードを他のサービスと使い回していた場合は、そのすべてのサービスでもパスワードを変更してください。同一の認証情報を複数のサービスで試すリスト型攻撃(クレデンシャルスタッフィング)が実行される可能性があります。特に同一パスワードを使用している EC サイト・ネットバンキング・SNS・クラウドサービスがある場合は至急変更が必要です。

フィッシングサイトで情報を入力してしまった方は、入力した情報の種類に応じて速やかに対処してください。クレジットカード情報を入力した場合はカード会社に連絡して利用停止を要請してください。Amazon アカウント情報を入力した場合はパスワードを変更し、不審な注文履歴や支払い情報の変更がないかを確認してください。

フィッシング対策協議会はまた、漏洩した情報は犯罪者の間で売買されており、消すことができないと指摘しています。今後も同じメールアドレス宛に不審なメールが届き続けるリスクを考慮し、長期的にはメールアドレスを新しく作成して移行することも選択肢として示されています。

 

出典

関連記事

KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード 最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響 KDDI ウェブコミュニケーションズのメールサービスで不正アクセスの被害-KDDIのサイバー攻撃から影響KDDI ウェブコミュニケーションズのメールサービスで不正アクセスの被害-KDDIのサイバー攻撃から影響 日本のメール基盤に相次ぐ サイバー攻撃- KDDI・IIJ・TOKAIコミュニケーションズ・WebARENAの4事案を整理メール 基盤に相次ぐ サイバー攻撃- KDDI・IIJ・TOKAIコミュニケーションズ・WebARENAの4事案を整理 総務省がKDDIに「報告徴収」の行政処分 -メール システムへの不正アクセスによるサイバー攻撃で総務省がKDDIに「報告徴収」の行政処分 -メール システムへの不正アクセスによるサイバー攻撃で KDDI子会社で2,461億円の架空循環取引が発覚|不正の全容・動機・処分状況をわかりやすく解説KDDI 子会社で2,461億円の架空循環取引が発覚|不正の全容・動機・処分状況をわかりやすく解説 米国 ビザ申請でSNS公開が新たな条件に-学生・研修ビザに影響、審査強化で待機時間も米国 ビザ申請でSNS公開が新たな条件に-学生・研修ビザに影響、審査強化で待機時間も STNet、11月の不正アクセスで最大2万846人分の個人情報漏洩の可能性STNet、11月の不正アクセスで最大2万846人分の個人情報漏洩の可能性 Default Thumbnailマネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性 フランス大手ISP「Free」へサイバー攻撃、1910万人の個人情報漏洩の可能性フランス大手ISP「Free」へサイバー攻撃、1910万人の個人情報漏洩の可能性