株式会社KDDIウェブコミュニケーションズは2026年6月23日、同社が提供する法人向けレンタルサーバー「CPI」のメールサービスにおいて、メールアカウントおよびパスワードが外部に漏洩した可能性があると発表しました。
同日、CPIのサービスサイトでも詳細な報告が公開されています。本件はKDDIが6月23日に公表したISP事業者向けメールシステムへの不正アクセスと同一の事案で、KDDIのシステム基盤を利用していたCPIのメールサービスが影響を受けたものです。
CPIからの発表では、プランごとの影響範囲が明確化されており、ビジネス スタンダードおよびKWCメールのパスワードについてはハッシュ化されており直ちに不正アクセスに利用される可能性は低いとしています。
サマリー
- 発表日:2026年6月23日(KDDIウェブコミュニケーションズ・CPI 同日発表)
- 影響サービス:CPIのメールサービス(法人向けレンタルサーバーCPIをご利用の方)
- 発覚経緯:2026年6月21日にKDDIからCPIへ連絡があり判明
- 原因:KDDI提供のISP向けメールシステムが第三者製ソフトウェアの脆弱性を悪用されて不正アクセスを受けた
- KDDI側の対応:2026年6月17日にシステム改修・技術的防御措置を実施済み
- 漏洩の可能性がある情報:メールサービスにログインするためのメールアカウントおよびパスワード(プランにより差異あり)
- 影響人数:調査中(個別案内を予定)
- 二次被害:現時点で確認なし
| 対象プラン | 漏洩の可能性がある情報 | パスワードの保護状態 |
|---|---|---|
| ビジネス スタンダード・KWCメール | メールアカウントおよびパスワード | ハッシュ化済み。直ちに不正アクセスに利用される可能性は低い |
| その他のプラン | メールアカウント(パスワードは対象外の可能性) | 調査中 |
何が起きたか
2026年6月21日、KDDIよりKDDIウェブコミュニケーションズへ、CPIのメールサービスに影響が及んでいる可能性があるとの連絡が入りました。同社はただちに調査を開始し、6月23日に利用者への通知と公式発表を行っています。
KDDIが同日公表した内容と合わせると事案の全体像が見えてきます。KDDIはISP向けにメールシステムを提供しており、そのシステム上で@nifty・BIGLOBE・J:COMなどの複数のISPと、CPIのメールサービスが動いていました。このシステムが不正アクセスを受けたため、CPIを含む複数のサービスに影響が波及しています。KDDIの報告によると、不正アクセスは2026年6月17日に確認されており、同日中にシステム改修と技術的な防御措置が実施されています。CPIへの連絡が17日から4日後の21日になったのは、KDDIが影響範囲の特定を進める中で各サービス提供者への個別通知を行った結果とみられます。
原因
本事案はCPIが独自に攻撃を受けたものではなく、メールシステムの提供元であるKDDIのISP向けメールシステム基盤が不正アクセスを受けたことに起因します。KDDIは原因として「本システムにおいて利用していた第三者製のソフトウェアの脆弱性を悪用された」と説明しており、CPIへの影響はその下流に位置するサービスとして生じたものです。
CPI利用者が取るべき対応
CPIのメールサービスを利用している場合は、プランを確認のうえ以下の対応を行ってください。
ビジネス スタンダードまたはKWCメールを利用している場合は、メールアカウントのパスワードを早期に変更することを推奨します。ハッシュ化されているとはいえ、パスワードが漏洩した可能性がある以上、変更することでリスクを排除できます。パスワードの変更手順はCPIの操作マニュアル(https://www.cpi.ad.jp/support/#manual_in_support_top)を参照してください。
その他のプランを利用している場合でも、CPIからの個別案内を待つとともに、念のためパスワードを変更しておくことを推奨します。調査の進展により対象範囲が拡大する可能性を否定できません。
パスワードの使い回しへの対応として、CPIのメールアカウントと同じパスワードを他のサービスで使用している場合は、そちらも速やかに変更してください。メールアドレスとパスワードの組み合わせがリスト型攻撃(クレデンシャルスタッフィング)に使われる可能性があります。
Web制作会社や広告代理店など、複数のクライアント企業のメールアカウントをCPI上で管理している場合は、自社のアカウントだけでなく管理しているクライアントアカウントのパスワード変更も合わせて実施してください。法人向けサービスの性格上、一つのアカウント管理者が複数の組織のメールアカウントを保有しているケースがあります。
CPIの個別案内を確認する際は、本件を装ったフィッシングメールにも注意が必要です。「CPIよりご連絡」を装ったメールが届いた場合は、リンクをクリックせずCPIの公式サイト(cpi.ad.jp)から直接アクセスして確認してください。
FAQ
Q. CPIのWebサイトや他のサービスへの影響はありますか?
A. 発表の時点では、漏洩の可能性があるのはメールサービスのアカウントとパスワードに限定されており、Webサイトのホスティングや他のサービスへの影響は調査中としています。引き続きCPIの公式お知らせを確認してください。
Q. ビジネス スタンダード・KWCメール以外のプランでもパスワードは漏洩していますか?
A. CPIの発表ではその他のプランについて「メールアカウントの漏えい」のみ記載されており、パスワードが対象範囲に含まれるかどうかは調査中としています。確定次第、対象の利用者に個別案内が送られる予定です。
Q. 今後CPIから個別案内はありますか?
A. CPIは「影響範囲の特定次第、対象のお客さまへ個別にご案内いたします」と明記しています。案内が届くまでの間も念のためのパスワード変更を推奨しています。
Q. 本件はKDDIが6月23日に発表したISP向けメールシステムへの不正アクセスと同じ事案ですか?
A. はい、同一の事案です。KDDIが提供するISP向けメールシステム基盤が不正アクセスを受けており、その基盤を利用してメールサービスを提供していたCPIがその影響を受けた形です。同じ基盤を利用していた@nifty・BIGLOBE・J:COMetcの各サービスも同様の影響を受けており、KDDIが公表した最大1,422万件という数値はすべてのサービスの合計です。
出典
- KDDIウェブコミュニケーションズ「当社メールサービスに対する不正アクセスの発生について」(2026年6月23日)
- CPI「弊社メールサービスへの不正アクセスに関するご報告とお詫び」(2026年6月23日)
- KDDI株式会社「ISP事業者向けメールシステムに対する不正アクセスの発生について」(2026年6月23日)
当サイト関連記事
- KDDI、ISP事業者向けメールシステムへの不正アクセスでメールアドレス・パスワード最大1,422万件が漏洩の可能性 ─ @nifty・BIGLOBE・J:COMなど6社に影響
- なぜ日本のメールシステムは狙われ続けるのか ─ IIJ・TOKAI・WebARENA・KDDIで相次ぐ大規模不正アクセス
関連記事
KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード 最大1,422万件が漏洩の恐れ@nifty・BIGLOBE・J:COMなど6社に影響
メール 基盤に相次ぐ サイバー攻撃- KDDI・IIJ・TOKAIコミュニケーションズ・WebARENAの4事案を整理
、高度な標的型-サイバー攻撃を受ける―迅速な検出と封じ込めも、国際的な司法機関への圧力続く-200x200.png)
国際刑事裁判所(ICC)、高度な標的型 サイバー攻撃を受ける―迅速な検出と封じ込めも、国際的な司法機関への圧力続く
情報セキュリティポリシーとは?3階層構造と基本方針の役割を解説
創価学会の仏具を販売する博文栄光堂オンラインショップが不正アクセスで約5万人の個人情報が漏洩
日本テレネット、ランサムウェアの被害で最大106.6万件の個人情報漏洩の恐れ-二次被害は確認されず
マネーフォワード、不正アクセス 調査 完了- 従業員2,300名・顧客固有識別子60,449名分の情報漏洩の恐れが確定
ファイブ・アイズが警告 AIがサイバー攻撃を根本的に変える-タイムラインは数年ではなく数か月
CAMPFIRE、GitHubへの不正アクセスによるサイバー攻撃で最大22万5,846件の個人情報漏洩の恐れ
