カクヨムで不審なアクセス事案-漏洩した認証情報を悪用したリスト型サイバー攻撃|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月26日更新日時: 2026年06月26日

カクヨムで不審なアクセス事案が発生 ─ 他サービスで漏洩した認証情報を使ったリスト型攻撃と判断、パスキー設定・パスワード使いまわしの廃止を推奨

KADOKAWAが運営する小説投稿プラットフォーム「カクヨム」は2026年6月26日、不正に入手したと思しきメールアドレスとパスワードを使って第三者による不審なアクセスが行われる事案が発生しているとして、ユーザーへの注意喚起と推奨セキュリティ対策を公表しました。

カクヨム側のシステムから直接情報が流出したものではなく、何らかのサービスで過去に流出した認証情報をもとに悪意ある第三者がカクヨムへのログインを試みている可能性があるとしています。対策としてパスワードの使いまわし廃止・パスキーの設定・Google/Appleアカウントとの連携後にパスワードを削除する方法を推奨しています。カクヨムは新しい端末や環境からのログインが発生した際に登録メールアドレスへ通知を行っており、身に覚えのないログイン通知が届いた場合はただちにパスワード変更と問い合わせを求めています。

サマリー

公表日：2026年6月26日
プラットフォーム：カクヨム（KADOKAWA運営の小説投稿・閲覧サービス）
事案の種類：リスト型攻撃（クレデンシャルスタッフィング）─ 他サービスから流出した認証情報を使った不正ログイン試行
カクヨム自体の漏洩：なし（外部で流出した認証情報を利用されたもの）
被害を受けた可能性がある条件：他のサービスと同じメールアドレス・パスワードを使いまわしているユーザー
カクヨムの対応：新規ログイン時に登録メールアドレスへ通知を実施
推奨する対策：パスワード使いまわしの廃止・パスキー設定・Google/Apple連携後のパスワード削除
身に覚えのないログインがあった場合：ただちにパスワードを変更し問い合わせ窓口へ連絡

項目	内容
公表日	2026年6月26日
対象プラットフォーム	カクヨム（KADOKAWA）
攻撃の種類	リスト型攻撃（クレデンシャルスタッフィング）
カクヨム側の漏洩	なし
被害条件	他サービスとのパスワード使いまわし
通知の仕組み	新規ログイン時に登録メールへ確認を送付
問い合わせ先	https://kaku-yomu-support.jp/form_admin.php

1 何が起きたか
2 カクヨムが推奨するセキュリティ対策
3 見覚えのないログイン通知が届いた場合の対応
4 FAQ

何が起きたか

カクヨムで確認されている不審なアクセスは、カクヨムのシステムそのものが攻撃を受けて情報が流出したものではありません。攻撃者が他のサービスや過去の漏洩事案で入手したとみられるメールアドレスとパスワードの組み合わせを使って、カクヨムへのログインを試みているというリスト型攻撃（クレデンシャルスタッフィング）です。

リスト型攻撃とは、ダークウェブ等で流通している大量の漏洩済み認証情報リストを使って、他のサービスへのログインを機械的に試みる攻撃手法です。多くのユーザーが複数のサービスで同じメールアドレスとパスワードを使いまわしているという習慣を悪用しており、あるサービスで漏洩した認証情報が別のサービスへの不正ログインに転用されます。

カクヨムは対策として、既知の環境とは異なる端末・ブラウザ・ネットワークから新しくログインが行われた場合に、登録メールアドレスへ確認の通知を送る仕組みを設けています。身に覚えのないログイン通知が届いた場合は、不正アクセスの可能性があります。

カクヨムが推奨するセキュリティ対策

カクヨムは以下の対策をユーザーに求めています。

パスワードの使いまわし廃止が最優先です。

複数のサービスで同じパスワードを使っている限り、いずれかのサービスで漏洩した認証情報がカクヨムを含む他のサービスへのログインに使われるリスクが消えません。各サービスで固有のパスワードを設定することで、漏洩の影響を1つのサービスに封じ込めることができます。

パスワードを長く複雑にすることも推奨されています。長いパスワードはブルートフォース攻撃への耐性が高まります。ランダムな英数字・記号の組み合わせで16文字以上を目安にしてください。

各サービスに固有の長いパスワードを覚えきれない場合には、ブラウザや端末が提供するパスワードマネージャー機能の利用を推奨しています。iPhone/Macのキーチェーン、Androidのパスワードマネージャー、Safariのパスワード保存機能、またはBitwarden・1Passwordのような専用ツールが選択肢になります。

最も強力な対策として、パスキーの設定またはGoogle/Appleアカウントとの連携後のパスワード削除が推奨されています。パスキーはFIDO2規格に基づく認証方式で、デバイスに保存された秘密鍵を使うため、パスワードが存在しないことで漏洩自体を防ぎます。パスキー設定後はパスワードを削除することで、リスト型攻撃の標的から外れることができます。

見覚えのないログイン通知が届いた場合の対応

カクヨムから「新しくログインがありました」という通知が届いたが自分でログインした覚えがない場合は、以下の手順で対応してください。

まず速やかにカクヨムのアカウントのパスワードを変更してください。変更後はカクヨムの問い合わせ窓口（https://kaku-yomu-support.jp/form_admin.php）に事案を報告することが求められています。

パスワードを変更したら、同じパスワードを他のサービスでも使用していた場合は、それらのサービスのパスワードも速やかに変更してください。同じ認証情報の組み合わせが複数のサービスで試される可能性があります。

不正ログインの痕跡としてアカウント上に何らかの変更がないかを確認してください。投稿した作品の削除・プロフィール情報の変更・連携設定の変更・メールアドレスの変更などが行われていた場合は、その旨も問い合わせ窓口に伝えてください。

FAQ

Q. カクヨム自体から個人情報が漏洩しましたか？

A. カクヨムの公表では、カクヨムのシステムから情報が流出したものではないとしています。他のサービスで過去に流出した認証情報を使って第三者がカクヨムへのログインを試みているというリスト型攻撃であり、カクヨム自体の侵害は確認されていません。

Q. カクヨムを使っていても被害に遭わないケースはありますか？

A. カクヨム専用の固有のパスワードを設定しているユーザーは、他のサービスで漏洩した認証情報ではカクヨムにログインできないため、このリスト型攻撃の影響を受けません。また、パスキーまたはGoogle/Apple連携でログインしておりパスワードを削除済みのユーザーも対象外になります。

Q. パスキーとは何ですか？どう設定しますか？

A. パスキーはパスワードの代わりにデバイスの生体認証（顔認証・指紋認証等）やPINを使うログイン方式です。デバイスに秘密鍵が保存されるため、パスワード自体が存在せず、流出リストを使った攻撃が成立しません。カクヨムでの設定方法はログイン後のアカウント設定画面の「アカウント」メニューから行うことができます。

Q. Google/Appleのアカウントと連携した後にパスワードを削除しても安全ですか？

A. はい。Google/Apple認証に完全に移行した後にパスワードを削除することで、パスワードを狙ったリスト型攻撃の対象外になります。ただし、Google/Appleのアカウント自体を確実に保護すること（Googleアカウントの2段階認証の有効化等）が前提条件になります。

出典