KDDIは2026年6月23日、インターネットサービス事業者(ISP)向けに提供しているメールシステムが不正アクセスを受けたと公表しました。@niftyやBIGLOBEなど6社のメールサービスで、最大約1422万件のメールアドレス・パスワードが外部に流出した恐れがあります。発覚は6月17日で、KDDIは技術的な防御措置を実施済み、各ISPは利用者にパスワード変更を呼びかけています。自社の従業員がこれらのメールを業務に使っていないか、今すぐ確認したいインシデントです。
この記事でわかること
- 何が起きたのか(影響範囲・流出した可能性のある情報)
- 影響を受けた6社のサービス
- 情シスが今すぐ確認すべきこと
- 「共通基盤・委託先の脆弱性」という今回の本質的な教訓
何が起きたのか
不正アクセスを受けたのは、KDDIがISP事業者向けに提供しているメールシステムです。KDDIの報道発表および各社報道によると、概要は次のとおりです。
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年6月23日(KDDI報道発表) |
| 発覚日 | 2026年6月17日 |
| 対象 | KDDIがISP事業者向けに提供するメールシステム |
| 流出の恐れがある情報 | メールアドレス、メールパスワード(メール本文が含まれた可能性も報道) |
| 最大件数 | 約1422万件 |
| 原因 | サードパーティ製ソフトウェアの脆弱性の悪用 |
| KDDI本体のメール | 別基盤で運用しており影響なし |
KDDIは問題点を特定し、6月17日に技術的な防御措置を実施済みとしています。現時点で二次被害に関する具体的な発表はありませんが、流出した可能性がある以上、利用者側の対応は急ぐべき段階です。
悪用された脆弱性は何か
原因は「サードパーティ製ソフトウェアの脆弱性の悪用」と説明されていますが、具体的な製品名やCVE番号は現時点で公表されていません。続報で明らかになる可能性があるため、自社で同種のミドルウェアやメール関連製品を使っている場合は、ベンダーからの注意喚起を注視しておくとよいでしょう。
影響を受けたサービス(6社)
KDDIの共通基盤を利用していた以下6社のメールサービスが影響を受けたとされています。普段「KDDIの事件」と認識していなくても、自社の従業員が次のサービスを使っているケースは少なくありません。
- ニフティ(@nifty メール)
- ビッグローブ(BIGLOBE メール)
- JCOM(J:COM NET)
- STNet(ピカラ)
- 中部テレコミュニケーション(コミュファ)
- KDDIウェブコミュニケーションズ(CPI レンタルサーバー)
各社が公式サイトで対象範囲や対応方法を案内しています。利用者・契約者は、必ず各サービスの公式発表で自分が対象かどうかを確認してください。
なぜ情シスにとって他人事ではないのか
「個人向けISPメールの話」と片づけると本質を見誤ります。情シスの実務に直結する論点が3つあります。
1. メールアドレス+パスワードの流出はパスワードリスト攻撃の燃料になる
今回流出した恐れがあるのは、まさに「メールアドレス(=多くのサービスのID)」と「パスワード」の組み合わせです。パスワードを使い回している人がいれば、流出した認証情報で別のサービスにログインを試みる「パスワードリスト型攻撃」に直結します。従業員が@niftyやBIGLOBEのメールを業務用アカウントの登録先や復旧用メールに使っていた場合、その先にあるSaaSや社内システムまで連鎖的にリスクが及びます。
2. シャドーITとして個人ISPメールが業務に紛れ込んでいる
現場では、外部サービスの登録や取引先とのやり取りに、従業員個人のフリーメール・ISPメールが使われていることが珍しくありません。情シスが把握しきれない「シャドーIT」の典型です。今回のような事故が起きて初めて、「うちの業務、どこまで個人メールに依存していたのか」が問われます。
3. 共通基盤・委託先の一点が、6社・1422万件に波及した
今回最も重いのは、KDDIという共通基盤の1か所が侵害されたことで、それを利用する6社・最大1422万件規模に一気に被害が広がったという構図です。これはまさにサプライチェーン/委託先管理の問題そのものです。自社が利用しているクラウドメールや業務SaaSも、その裏側で共通基盤や別のベンダーに依存していないか——「自分たちが直接管理していない部分」のリスクを、改めて意識させられる事例です。
現場目線の課題
正直なところ、従業員が私用のISPメールをどこでどう使っているかまで、情シスが完全に把握するのは困難です。利用を禁止しても抜け道はあり、棚卸しのたびに「申告漏れ」が出ます。今回のように委託先・共通基盤が起点の事故では、自社にログも残らず、ニュースを見て初めて影響に気づくのが実情でしょう。だからこそ、平時からの「使い回し禁止」「多要素認証の徹底」「業務利用メールの集約」といった地道な土台づくりが、いざという時の被害を左右します。派手な対策よりも、こうした基礎の積み重ねが効くのがこの種のインシデントです。
情シスが今すぐ確認すべきこと
具体的な対策チェックリストを長々と並べるより、まずは公的機関の指針を土台にするのが堅実です。漏えい・不正ログインへの備えは、IPAの資料が実務に使えます。
- IPA「不正ログイン対策特集ページ」——パスワードの使い回し対策・多要素認証の考え方
- IPA「対策のしおり」——従業員啓発に使える平易な資料
- IPA「中小企業の情報セキュリティ対策ガイドライン」——委託先管理を含む全体像
そのうえで、今回の文脈で優先したい確認ポイントを挙げます。
- 洗い出し:影響6社のメール(@nifty・BIGLOBE等)を業務利用・各種登録に使っている従業員がいないか確認する。
- パスワード変更:該当する場合は、当該メールのパスワードを変更し、同じパスワードを使い回している他サービスも併せて変更させる。
- 多要素認証:重要システムでMFAが有効か再点検する。パスワード流出があってもMFAが最後の砦になる。
- 監視強化:当面、社内システムやSaaSへの不審なログイン(普段と違う場所・時間帯)に注意を向ける。
- 啓発:従業員に「使い回しをやめる」「不審なログイン通知を放置しない」ことを改めて周知する。地道なユーザー教育が結局いちばん効く。
中長期の視点
今回の教訓は、自社のセキュリティ対策が万全でも、利用するサービスの「裏側」で起きた事故に巻き込まれうるということです。クラウド・SaaS・ISPといった外部サービスを使う以上、委託先・再委託先まで含めたリスクの可視化と、「流出する前提」での備え(パスワード使い回しの撲滅、MFAの全面適用)が、これからの情シスの基本線になります。続報でサードパーティ製ソフトの詳細が判明したら、自社で同種製品を使っていないかの確認も忘れずに。
まとめ
- KDDIのISP向けメールシステムが不正アクセスを受け、@niftyやBIGLOBEなど6社で最大1422万件のメールアドレス・パスワードが漏えいの恐れ。原因はサードパーティ製ソフトの脆弱性(製品名・CVEは未公表)。
- 流出した認証情報はパスワードリスト攻撃の燃料になる。従業員が該当メールを業務に使っていないか洗い出し、パスワード変更とMFAを徹底する。
- 本質は共通基盤・委託先という「自社が直接管理しない部分」のリスク。流出前提での備えと、地道な使い回し撲滅・啓発が効く。
出典
- KDDI 報道発表資料「ISP事業者向けメールシステムに対する不正アクセスの発生について」(2026年6月23日) newsroom.kddi.com
- ITmedia NEWS「KDDI、メアドなど最大1422万件漏えいか」 itmedia.co.jp
- INTERNET Watch「KDDIのISP向けメールシステムに不正アクセス」 internet.watch.impress.co.jp
- Security NEXT「KDDIのISP向けメールシステム侵害」 security-next.com
