KDDI株式会社は2026年7月6日、6月23日に公表したISP事業者向けメールシステムへの不正アクセスについて、総務省へ電気通信事業法第166条第1項に基づく報告書を提出したことを公表するとともに、漏えいが可能性ではなく事実として確認された情報の件数を明らかにしました。
同日、影響を受けたISP事業者のうちJCOM・STNet・KDDIウェブコミュニケーションズ(CPI)の3社が自社分の確認件数を公表し、ニフティも侵害の開始時期を修正した第二報を出しています。
当初発表の最大1,422万件という数字は調査中の上限値でしたが、今回KDDI本体が示した数値は、実際に漏えいの事実が確認された電子メールアドレス1,223万3,087件、うちパスワード761万6,173件です。なお、いずれの発表も調査そのものが完全に終了したとは明言しておらず、あくまで現時点で事実として確認できた件数である点には留意が必要です。
サマリー
- KDDIは2026年7月6日、総務省への報告書提出とあわせて、事実として確認された漏えい件数を公表。電子メールアドレスの漏えいが1,223万3,087件、そのうちパスワードの漏えいが761万6,173件(内数)
- 不正アクセスの原因となった第三者製ソフトウェアの脆弱性は、KDDIが確認した2026年6月17日時点でベンダー自身も認識していない、いわゆるゼロデイ状態だったことが判明。ベンダーは公的機関への届け出と情報公開に向けた対応を進めている
- 一部のISP事業者では2026年5月16日から不正アクセスが発生していたことも新たに判明
- JCOMは同日、J:COM NETで246万9,191件、ケーブルテレビ事業者向けメールサービスで11万9,885件(うちパスワード1,257件)の漏えいが事実として確認されたと公表
- STNet(ピカラ光・ピカラモバイル・お仕事ピカラ)は、お客さま数39万7,152名、メールアドレスとパスワードの組み合わせ45万6,159件の漏えいが事実として確認されたと公表
- KDDIウェブコミュニケーションズ(CPIのメールサービス)は、電子メールアドレス125万543件の漏えいが事実として確認されたと公表。パスワードの漏えいはなし
- ニフティは第二報で、自社環境における不正アクセスの開始時期が2026年5月24日だったと修正したが、本稿執筆時点で確認件数は公表していない。ビッグローブ、中部テレコミュニケーション(コミュファ光)についても確認件数の公表は確認できていない
- いずれの発表も、可能性の段階だった数字が事実として確認された件数を示すものであり、調査自体が完全に終結したとは明言されていない点には注意が必要
| 事業者 | サービス | 事実として確認された漏えい情報 | 発表日 |
|---|---|---|---|
| KDDI(総合計) | ISP向けメールシステム全体 | 電子メールアドレス1,223万3,087件(うちパスワード761万6,173件) | 2026年7月6日 |
| JCOM | J:COM NET | 電子メールアドレス246万9,191件 | 2026年7月6日 |
| JCOM | ケーブルテレビ事業者向けメールサービス | 電子メールアドレス11万9,885件(うちパスワード1,257件) | 2026年7月6日 |
| STNet | ピカラ光・ピカラモバイル・お仕事ピカラ | お客さま数39万7,152名、メールアドレス・パスワード45万6,159件 | 2026年7月6日 |
| KDDIウェブコミュニケーションズ | CPIのメールサービス | 電子メールアドレス125万543件(パスワード漏えいなし) | 2026年7月6日 |
| ニフティ | @niftyメール | 侵害開始時期を5月24日に修正(確認件数は未公表) | 2026年7月6日 |
| ビッグローブ | BIGLOBEメール | 確認件数の公表は未確認(7月2日時点でパスワード強制変更の日程を案内) | – |
| 中部テレコミュニケーション | コミュファ光・ビジネスコミュファ | 確認件数の公表は未確認 | – |
何が起きたか
今回の続報は、当サイトで既報のKDDIのISP向けメールシステムへの不正アクセスについて、6月23日時点では調査中の上限値として示されていた最大1,422万件という数字のうち、どこまでが事実として確認されたかを明らかにするものです。KDDIは2026年6月24日に総務省から電気通信事業法第166条第1項に基づく報告徴収を求められており、7月6日にその報告書を提出しました。これにあわせて、電子メールアドレスの漏えいが1,223万3,087件、そのうちパスワードの漏えいが761万6,173件、事実として確認されたことを公表しています。最大1,422万件という当初の数字と比べると、実際に漏えいの事実が確認された件数はやや下回る形になりました。ただし、KDDIは調査そのものが完全に終了したとは明言しておらず、あくまで現時点までに事実として確認できた件数である点は押さえておく必要があります。
あわせてKDDIは、原因となった第三者製ソフトウェアの脆弱性について新たな情報も明らかにしています。この脆弱性は、KDDIが本件不正アクセスを確認した2026年6月17日の時点では、当のソフトウエアベンダー自身も認識していなかったものであり、いわゆるゼロデイの状態で悪用されていたことになります。ベンダーは現在、この脆弱性について公的機関への届け出を行い、情報公開に向けた取り組みを進めているとされています。また、調査の結果、一部のISP事業者においては2026年5月16日から不正アクセスが発生していたことも判明しており、KDDIが実際に不正アクセスを確認した6月17日よりも1カ月以上前から、攻撃者がシステムにアクセスできる状態が続いていたことになります。
なお、KDDI自身が運営するauメール、UQ mobileメール、au one netメールについては、今回の不正アクセスを受けたシステムとは異なる設備で構築されているため、影響や情報漏えいはないと改めて説明されています。
ISP各社の対応状況
KDDIの発表と同じ7月6日、影響を受けたISP事業者のうち複数社が自社分の詳細を更新しています。JCOMは、J:COM NETのお客さま向けメールサービスで電子メールアドレス246万9,191件、ケーブルテレビ事業者向けに提供するメールサービスで電子メールアドレス11万9,885件(うちパスワード1,257件)の漏えいが確認されたと公表しました。電子メールアドレスのみが対象となった顧客についてはパスワードリセットは実施せず、より安全性の高いパスワードへの変更を案内するとしています。
STNetは、ピカラ光・ピカラモバイル・お仕事ピカラに関連するメールサービスについて、お客さま数39万7,152名、メールアドレスとパスワードの組み合わせとして45万6,159件の漏えいが確認されたと公表しています。件数がお客さま数を上回っているのは、1人の顧客が複数のメールアドレスを保有しているケースがあるためだとしています。対象顧客にはメールまたは書面で個別に案内しており、変更期限までにパスワードを変更しなかった顧客については強制変更を実施するとしています。
KDDIウェブコミュニケーションズは、レンタルサーバーCPIが提供するメールサービスについて、電子メールアドレス125万543件の漏えいが確認された一方、パスワードそのものの漏えいはないと公表しました。同社はすでに実施していた予防的なパスワード変更の案内に続き、変更未了の顧客を対象に強制変更を進めるとしています。
一方ニフティは、@niftyメールサービスに関する第二報の中で、自社側の調査によって不正アクセスの開始時期が2026年5月24日だったと判明したことを公表していますが、本稿執筆時点で事実として確認された漏えい件数そのものは公表されていません。ビッグローブについては、2026年7月2日の更新でパスワードの強制リセットを7月3日から7月9日にかけて順次実施する旨や、不安を感じる顧客向けにメールアドレス変更サービスを無料提供する旨は案内されているものの、確認件数の公表は本稿執筆時点で確認できていません。中部テレコミュニケーションのコミュファ光についても、同様に確認件数の公表は確認できていません。単純に確認できている数字を積み上げると、JCOM・STNet・CPIの3社で合計およそ430万件が確認済みの件数として説明されており、KDDI全体の確認件数である1,223万件との差にあたる約790万件が、ニフティ・ビッグローブ・コミュファ光の3社に分布していると推測されますが、この内訳は本稿執筆時点では各社から個別に示されていません。
再発防止に向けた技術的対策とAIを使った分析
KDDIは今回の発表にあわせて、実施済みの対策と今後の対策を整理しています。実施済みの対策としては、2026年6月17日のシステム改修に加え、6月21日に不正アクセス検知を強化するため外部通信を制御する全サーバーへEDR(Endpoint Detection and Response)を導入したこと、6月23日に第三者機関によるフォレンジック調査を実施し、今回悪用された脆弱性以外に不審な痕跡がないことを確認したことが挙げられています。
今後の対策としては、今回悪用されたソフトウエアの設計書とプログラムをAIも活用しながら分析し、潜在的な問題を網羅的にチェックする方針が示されています。生成AIを使ったコードレビューやセキュリティ分析は近年広がりを見せていますが、実際に大規模な情報漏えいを起こした基盤の再点検にAIを活用すると明言している点は、同業他社にとっても参考になる動きだといえます。あわせて、より長期的な取り組みとして、従来型のメールソフトを利用する顧客への影響を考慮しつつ、ISP事業者と共により安全性の高い通信規格への移行を進める方針も示されており、業界全体の底上げを視野に入れた対応になっています。
情報システム部門への示唆
今回の続報で押さえておきたいのは、当初の最大1,422万件という数字が、時間の経過とともに事業者ごとに事実として確認された件数へと置き換わっていく過程そのものです。自社が@niftyメール・BIGLOBEメール・J:COM NET・コミュファ光・ピカラ・CPIのいずれかを業務で利用している場合、初期発表時点の上限値だけを見て対応の要否を判断するのではなく、契約している事業者本体からの確認情報を継続的に確認する運用をお勧めします。特にJCOM・STNet・CPIを利用している場合は、今回事実として確認された件数と自社アカウントが対象に含まれるかどうかを、各社の案内に沿って個別に確認してください。ニフティ・ビッグローブ・コミュファ光を利用している場合は、確認件数の公表がまだであっても、初期対応として案内されているパスワード変更の期限や強制変更のスケジュールに沿った対応を優先してください。なお、今回公表された数字も調査の最終結果とは明言されていないため、今後さらに件数が更新される可能性がある点は念頭に置いておくとよいでしょう。
また、今回KDDIが明らかにしたように、悪用された脆弱性は発見時点でベンダー自身も認識していないゼロデイでした。自社が利用するシステムに組み込まれたソフトウエアコンポーネントについて、ベンダーが把握していない脆弱性が存在するリスクは常につきまとうものであり、単一のソフトウエアの脆弱性が複数の下流事業者に一括して波及する構造は、当サイトで以前整理したメール基盤に相次ぐサイバー攻撃の記事でも指摘した通りです。自社が利用しているメールやクラウド基盤がどの事業者のどの製品に依存しているかを把握し、依存先で発生したインシデントの続報を継続的に追跡する体制を整えておくことをお勧めします。
出典
- ISP事業者向けメールシステムに対する不正アクセスについてのお詫びとご報告 – KDDI株式会社
- (更新)当社メールサービスに対する不正アクセスの発生について – JCOM株式会社
- 弊社メールサービスへの不正アクセス事案に関するお詫びとご報告 – 株式会社STNet
- (更新)当社が提供するメールサービスに対する不正アクセスについて – 株式会社KDDIウェブコミュニケーションズ
- 【第二報】当社メールサービスへの不正アクセスについて – ニフティ株式会社
- 【7/2更新】不正アクセス発生に関するお詫びと、パスワード変更のお願い – ビッグローブ株式会社
- KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード 最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響 – セキュリティ対策Lab








