国内ISP(インターネット接続事業者)のメールアカウントが乗っ取られ、そこからフィッシングメールが送信される事態が確認されました。発端はKDDIが提供するISP事業者向けメールシステムへの不正アクセスで、最大約1,422万件のメールアドレス・パスワードが漏えいした可能性があります。フィッシング対策協議会は2026年6月26日、漏えいした認証情報を悪用したフィッシングや「便乗攻撃」に警戒するよう緊急情報を公開しました。直接の被害は個人利用者向けですが、従業員が私用ISPメールを業務に使っていたり、パスワードを社内システムと使い回していれば、自社にも火の粉が及びます。
この記事でわかること
- 何が起きたのか(KDDIのメール基盤への不正アクセスと、その後の乗っ取り・フィッシング)
- 影響を受けたサービスと、漏えいした情報の中身
- 「便乗攻撃」とは何か、情シスがなぜ警戒すべきか
- 従業員と社内向けに今すぐ確認・周知すべきこと
何が起きたのか
KDDIは2026年6月23日、ISP事業者向けに提供するメールシステムが不正アクセスを受けたと発表しました。同社は6月17日に不正アクセスを確認し、同日中にシステムを改修して防御措置を実施したとしています。原因は、当該システムで利用していた第三者製ソフトウェアの脆弱性を悪用されたものと説明されています。
この不正アクセスにより、最大で約1,422万件のメールアドレス・パスワードが漏えいした可能性があります。漏えいしたパスワードにはハッシュ化・暗号化されたものも含まれ、すでに解約した利用者や一定期間使っていない休眠アカウントも対象に含まれるとされています。総務省はKDDIに対し事実関係の報告を求めています。
そして6月26日、フィッシング対策協議会が「国内ISPの認証情報(ID、メールアドレス、パスワード等)を不正利用(乗っ取り)して送信されたとみられるフィッシングメール」を確認したとして、緊急情報を公開しました。漏えいした正規アカウントが実際に乗っ取られ、攻撃の踏み台になっている段階に入ったということです。
影響を受けたサービス
KDDIの発表で情報漏えいの対象とされたのは、以下の6事業者のメールサービスです。普及している消費者向けブランドが多く、社内に利用者がいる可能性は十分あります。
| 事業者 | 主なサービス・ブランド |
|---|---|
| ビッグローブ | BIGLOBEメール |
| ニフティ | @niftyメール |
| JCOM | J:COM NET 等のメール |
| 中部テレコミュニケーション | コミュファ光 |
| STNet | ピカラ光 |
| KDDIウェブコミュニケーションズ | CPI |
確認されたフィッシングメールの件名には、「【重要】VISAカード ご利用制限のお知らせ」「【重要】お客様のAmazonアカウントが一時的に制限されています」といった、クレジットカードや大手ECの利用制限・配送不具合を装うものが報告されています。協議会の確認時点ではフィッシングサイトが稼働中でした。
「便乗攻撃」とは何か
便乗攻撃とは、話題になっているインシデントそのものに乗じて行う二次的な攻撃のことです。今回でいえば、「あなたのメールアドレスが漏えいしました。確認のためこちらからパスワードを変更してください」といった、事件報道に便乗した新たなフィッシングが出回ることが懸念されています。利用者が「自分も漏えいの対象かもしれない」と不安になっているところを突くため、平時より引っかかりやすいのが厄介な点です。
つまり脅威は二段構えです。①漏えいした正規アカウントから送られる本物の乗っ取りメール、②事件に便乗して第三者が送る偽の「漏えい確認」メール。どちらも見た目は正規の通知に近づけてくるため、件名やブランド名だけでの真偽判定は当てになりません。
情シスはどこを警戒すべきか
消費者向けの話に見えますが、企業の情シスにとっても無関係ではありません。注意したい論点を挙げます。
- 私用ISPメールの業務利用:@niftyやBIGLOBEなどの個人アドレスを、取引先連絡や各種サービスのID登録に使っている従業員がいないか。乗っ取られれば、そのアドレス宛の業務連絡やパスワード再設定メールが攻撃者に渡ります。
- パスワードの使い回し:漏えいしたパスワードが社内システムやSaaSと同じだと、クレデンシャルスタッフィング(漏えい認証情報の使い回し試行)で横展開される恐れがあります。今回の漏えいは個人アカウントですが、リスクの本質は「同じパスワードを複数箇所で使っていること」です。
- 従業員宛の便乗フィッシング:報道を見た従業員に「漏えい確認」型のメールが届く可能性があります。社内へ一言注意喚起を出すだけで被害確率は下げられます。
- 第三者製ソフトの脆弱性が起点だった点:今回の発端は委託先・基盤側で使われていた第三者製ソフトの脆弱性です。自社が利用するメール基盤やSaaSも、提供事業者側の脆弱性で同種の事態が起こりうる、という視点を持っておきたいところです。
現場目線の所感
正直なところ、従業員一人ひとりが私用でどのISPメールを使い、どこでパスワードを使い回しているかまでは、情シスからは見えません。会社支給のアカウントなら統制できても、個人のメールは管理外です。だからこそ、技術的な封じ込めよりも「怪しいメールのリンクは踏まず、公式サイトやブックマークから入る」という地味な習慣を、繰り返し伝えていくしかないのが実情です。便乗攻撃は人の不安につけ込むので、最後の砦はやはり一人ひとりのリテラシーになります。
今すぐできる対応
対象サービスの利用者には、フィッシング対策協議会が次の対応を呼びかけています。社内周知の文面としてもそのまま使えます。
- 対象サービスを使っている場合は、速やかにパスワードを変更する(他サービスと使い回している場合はそちらも変更)。
- メール内のリンクからはアクセスせず、公式サイトやブラウザのブックマーク経由でログインして手続きする。
- 不安をあおる「漏えい確認」「利用制限」メールは便乗フィッシングを疑い、安易に情報を入力しない。
社内教育や啓発の進め方に迷う場合は、自前で長大なチェックリストを作るより、公的機関の指針に沿うのが近道です。IPAの対策のしおりはエンドユーザー啓発向けにまとまっており、フィッシング全般はフィッシング対策協議会の情報が一次情報として頼りになります。中小規模の組織であれば中小企業の情報セキュリティ対策ガイドラインも合わせて参照すると、パスワード管理や教育の位置づけが整理できます。
まとめ
- KDDIのISP向けメール基盤への不正アクセスで最大約1,422万件の認証情報が漏えいの可能性。すでに乗っ取られたアカウントからフィッシングメールが送られている。
- 事件に便乗した二次的なフィッシング(便乗攻撃)も懸念される。件名やブランド名での真偽判定は当てにならず、リンクを踏まず公式サイト経由で確認するのが基本。
- 情シスは「私用ISPメールの業務利用」「パスワードの使い回し」「従業員への便乗フィッシング」を点検し、社内への注意喚起を一本出しておくとよい。
出典
- フィッシング対策協議会「国内ISPの認証情報を不正利用して送信されたフィッシングメール (2026/06/26)」 https://www.antiphishing.jp/news/alert/isp_20260626.html
- KDDI「ISP事業者向けメールシステムに対する不正アクセスの発生について(2026年6月23日 報道発表資料)」 https://newsroom.kddi.com/
- INTERNET Watch「ISP向けメールシステムの漏えい情報を悪用したフィッシングメールを確認、フィッシング対策協議会が注意喚起」 https://internet.watch.impress.co.jp/docs/news/2120519.html
- Security NEXT「国内ISPのメールアカウント乗っ取りに注意 – 便乗攻撃にも警戒を」 https://www.security-next.com/186580

