KDDIのISP向けメールシステムに不正アクセス|最大1,422万件の認証情報漏えいから考える対策

KDDIは2026年6月23日、ISP事業者向けに提供しているメールシステムが不正アクセスを受け、メールサービスの利用に必要な情報が外部に漏えいした可能性があると発表しました。

漏えいした可能性がある情報は、メールボックスに紐づくメールアドレス・パスワードで、最大1,422万件に上ります。

今回の事案は、単なるメールアドレスの漏えいではなく、パスワードが含まれる可能性がある点が重要です。メールアカウントは、他サービスのパスワード再設定や本人確認にも使われることが多く、不正ログインやアカウント乗っ取りにつながるリスクがあります。

本記事では、現時点で公表されている情報をもとに、KDDIの不正アクセス事案の概要と、企業・利用者が確認すべき対策について解説します。

KDDIのISP向けメールシステムで何が起きたのか

KDDIによると、同社がISP事業者向けに提供しているメールシステムにおいて、各ISP事業者が提供する電子メールサービスの情報の一部が外部に漏えいした可能性があることを、2026年6月17日に確認しました。

同社は同日、被害拡大を防止するために対象システムを改修し、不正アクセスの被疑箇所を特定したうえで、技術的な防御措置を実施したとしています。

調査の結果、不正アクセスは、対象システムで利用していた第三者製ソフトウェアの脆弱性を悪用されたことによるものとされています。

また、KDDIは影響範囲の特定に向けて調査を継続しており、個人情報保護委員会や総務省への報告・相談を含む必要な対応を進めていると説明しています。

対象となるメールサービス

今回の不正アクセスにより影響を受ける可能性があるのは、KDDIがISP事業者向けに提供しているメールシステムを利用する複数のメールサービスです。

対象として公表されている主なサービスは以下の通りです。

  • STNetの「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に係るメールサービス
  • KDDIウェブコミュニケーションズのレンタルサーバー「CPI」のメールサービス
  • JCOMの「J:COM NET」とケーブルテレビ事業者向けメールサービス
  • 中部テレコミュニケーションの「コミュファ光」「ビジネスコミュファ」のメールサービス
  • ニフティの「@nifty メール」
  • ビッグローブの「BIGLOBE メール」

対象サービスの利用者は、各ISP事業者から提供される案内を確認する必要があります。

漏えいした可能性がある情報

KDDIが公表した内容によると、漏えいした可能性がある情報は、対象メールサービスで作成されたメールボックスに紐づくメールアドレス・パスワードです。

件数は最大1,422万件とされています。

この件数には、すでに解約した利用者や、一定期間利用のない休眠利用者も含まれます。また、パスワードにはハッシュ化・暗号化されたものも含まれるとされています。

ただし、調査は継続中であり、KDDIは現時点では最大値として公表している状況です。

なぜメールアドレス・パスワードの漏えいは危険なのか

今回の事案で特に注意したいのは、漏えいした可能性がある情報にパスワードが含まれている点です。

メールアドレスだけの漏えいであっても、迷惑メールやフィッシングメールの送信先として悪用されるリスクがあります。しかし、パスワードが含まれる場合、リスクはさらに大きくなります。

特に注意すべき二次被害は、以下の3つです。

リスト型攻撃による不正ログイン

メールアドレスとパスワードの組み合わせが外部に流出すると、攻撃者はその組み合わせを使って、他のサービスへのログインを試みる可能性があります。

これが、いわゆるリスト型攻撃です。

利用者が同じメールアドレスとパスワードを複数のサービスで使い回している場合、メールサービス以外のECサイト、金融サービス、SNS、クラウドサービスなどにも不正ログインされるおそれがあります。

企業側にとっても、過去に漏えいした認証情報を使った不正ログインは大きなリスクです。自社から情報が漏えいしていなくても、他社サービスで漏えいしたID・パスワードが自社サービスへの攻撃に使われる可能性があります。

メールアカウント乗っ取りによる被害

メールアカウントは、多くのWebサービスで本人確認やパスワード再設定に使われています。

そのため、メールアカウントが乗っ取られると、攻撃者は他サービスのパスワード再設定メールを受信し、別のアカウントまで奪取できる可能性があります。

特に、金融サービス、決済サービス、ECサイト、クラウドストレージ、業務用SaaSなどで同じメールアドレスを利用している場合、被害が連鎖するおそれがあります。

メールアカウントは単なる連絡手段ではなく、多くのサービスにおける認証基盤の一部になっている点を認識する必要があります。

フィッシングメールやなりすましへの悪用

漏えいしたメールアドレスは、フィッシングメールの送信先リストとして悪用される可能性があります。

特に、今回のように実際に利用しているISPやメールサービスに関連する情報が漏えいした可能性がある場合、攻撃者は「パスワード変更のお知らせ」「メールサービスの確認」「セキュリティ設定の更新」などを装ったメールを送る可能性があります。

利用者は、メール本文中のリンクからログインしない、公式サイトやブックマークからアクセスする、送信元やURLを確認するなど、通常以上に慎重な対応が必要です。

企業が確認すべきポイント

今回の事案は、通信事業者やISPだけの問題ではありません。

メールアドレスとパスワードを使った会員サービス、アプリ、ECサイト、金融・決済サービスを運営する企業にとっても、認証情報管理と不正ログイン対策を見直すきっかけになります。

1. パスワードの保管方式は適切か

企業は、自社サービスで保管しているパスワードが適切に保護されているかを確認する必要があります。

パスワードは平文で保存せず、適切なハッシュ化、ソルト付与、必要に応じたストレッチングなどを行うことが重要です。

また、認証情報が漏えいした可能性がある場合に、どの範囲の利用者にパスワード変更を求めるのか、強制リセットを行うのか、どのように通知するのかを事前に整理しておく必要があります。

2. リスト型攻撃を検知できるか

認証情報の漏えい後には、他サービスへの不正ログイン試行が増える可能性があります。

企業は、以下のような挙動を検知できるか確認すべきです。

  • 短時間に多数のログイン試行が発生していないか
  • 複数アカウントに対して同じIPアドレスからログイン試行がないか
  • 通常と異なる国・地域・端末からアクセスされていないか
  • 過去に漏えいした認証情報を使ったログイン試行がないか
  • ログイン後にメールアドレス変更、パスワード変更、送金、購入などの重要操作が行われていないか

単にログインを許可するかどうかだけでなく、ログイン後の重要操作まで監視することが重要です。

3. MFAや追加認証を導入しているか

IDとパスワードだけに依存した認証では、認証情報が漏えいした場合に不正ログインを防ぎにくくなります。

そのため、企業はMFA、多要素認証、パスキー、端末認証、生体認証などの導入を検討すべきです。

特に、金融アプリや決済アプリ、会員情報を扱うサービスでは、ログイン時だけでなく、以下のような重要操作時にも追加認証を行うことが望まれます。

  • パスワード変更
  • メールアドレス変更
  • 電話番号変更
  • 送金
  • 出金
  • クレジットカード登録
  • 配送先変更
  • 高額決済

認証強化は、ログイン画面だけで完結するものではありません。ユーザーの行動全体を見て、リスクの高い場面で追加の確認を行う設計が必要です。

4. サードパーティ製ソフトウェアの脆弱性管理はできているか

今回の事案では、第三者製ソフトウェアの脆弱性が悪用されたとされています。

企業のシステムは、自社開発部分だけで構成されているわけではありません。OS、ミドルウェア、CMS、メールシステム、ライブラリ、クラウドサービス、外部委託先のシステムなど、さまざまなサードパーティ要素に依存しています。

そのため、企業は以下を確認する必要があります。

  • 利用しているソフトウェアとバージョンを把握しているか
  • 脆弱性情報を継続的に確認しているか
  • 重要な脆弱性に対して迅速にパッチ適用できるか
  • 外部委託先や提供事業者のセキュリティ対応状況を確認しているか
  • インシデント発生時の連絡経路が整理されているか

サードパーティ製品の脆弱性は、自社だけでは完全に制御できない部分もあります。だからこそ、平時からの棚卸しと運用ルールが重要になります。

5. 利用者への案内がフィッシングに悪用されない設計になっているか

情報漏えい事案では、企業が利用者にパスワード変更を案内する場面が増えます。

しかし、このタイミングは攻撃者にとっても好都合です。実際の案内に便乗して、偽のパスワード変更メールやフィッシングサイトへ誘導するメールが送られる可能性があります。

企業が利用者へ案内する際は、以下の点に注意すべきです。

  • メール本文に安易にログインURLを記載しない
  • 公式サイトやアプリから手続きするよう案内する
  • 正規の案内ページをわかりやすく用意する
  • 偽メールに注意する文言を入れる
  • 問い合わせ窓口を明確にする
  • 対象者と非対象者の混乱を減らす

インシデント対応では、技術的な対策だけでなく、利用者への伝え方もセキュリティ対策の一部になります。

利用者が確認すべきこと

対象サービスを利用している可能性がある利用者は、各ISP事業者からの案内を確認し、必要に応じてメールパスワードを変更する必要があります。

また、同じパスワードを他のサービスで使い回している場合は、メールサービスだけでなく、他サービスのパスワードも変更することが重要です。

特に、以下のようなサービスでは早めの確認が必要です。

  • 金融機関
  • 証券口座
  • 決済アプリ
  • ECサイト
  • クラウドストレージ
  • SNS
  • 業務用SaaS
  • Apple IDやGoogleアカウントなどの主要アカウント

また、パスワード変更を促すメールが届いた場合でも、メール本文中のリンクをそのままクリックするのではなく、公式サイトや公式アプリからアクセスするようにしましょう。

今回の事案から学べること

今回のKDDIの不正アクセス事案は、メールサービスの認証情報管理の重要性を改めて示すものです。

メールアドレスとパスワードは、単にメールを利用するための情報ではありません。多くのWebサービスやアプリでは、メールアドレスがログインIDや本人確認手段として使われています。

そのため、メールアカウントが狙われると、他サービスへの不正ログイン、パスワード再設定の悪用、フィッシング、なりすましなど、複数の被害につながる可能性があります。

企業は、IDとパスワードだけに依存しない認証設計、漏えい時の強制リセット判断、不正ログイン検知、重要操作時の追加認証、サードパーティ製品の脆弱性管理を改めて確認する必要があります。

まとめ

KDDIのISP事業者向けメールシステムへの不正アクセスでは、メールアドレス・パスワードが最大1,422万件漏えいした可能性があるとされています。

今回の事案で重要なのは、メールアカウントが多くのサービスの認証基盤として使われている点です。

メールアドレスとパスワードが漏えいすると、リスト型攻撃、メールアカウント乗っ取り、他サービスのパスワード再設定悪用、フィッシングメールなど、さまざまな二次被害につながるおそれがあります。

利用者は、対象サービスからの案内を確認し、早急にパスワード変更を行うことが重要です。また、同じパスワードを他サービスで使い回している場合は、関連するサービスのパスワードも見直す必要があります。

企業側も、今回の事案をきっかけに、認証情報の保管方式、不正ログイン検知、MFA、重要操作時の追加認証、サードパーティ製ソフトウェアの脆弱性管理を確認しておくべきです。

認証情報の漏えいは、漏えい元のサービスだけで終わる問題ではありません。メール、アプリ、会員サービス、金融・決済サービスをまたいで被害が広がる可能性があるため、企業と利用者の双方が早めに対策を進めることが重要です。

参考情報

  • KDDI公式発表:ISP事業者向けメールシステムに対する不正アクセスの発生について
  • INTERNET Watch:KDDIのISP向けメールシステムに不正アクセス、最大1,422万件の情報漏えいの可能性

あわせて読みたい