あなたが毎日開いているメールの受信箱。その「鍵」が、自分でも気づかないうちに、見知らぬ誰かの手に渡っていたかもしれません。@niftyやBIGLOBE、J:COMなど、名前も運営会社も違うメールサービスが相次いで「パスワードを変えてください」と呼びかけました。
なぜ、バラバラのサービスが足並みをそろえたのか。その答えは、私たちの目には見えない「共通の土台」が、たった一カ所破られたことにあります。便利さの裏側で静かに進んでいた集約が、いま一気に表面化しました。これは遠い大企業の事故ではなく、あなたのアカウントの話かもしれません。
KDDI株式会社は2026年6月23日、ISP事業者向けに提供するメールシステムが不正アクセスを受け、メールアドレスとパスワード最大1,422万件が外部に漏えいした可能性があると発表した。
不正アクセスは2026年6月17日に確認し、同日中にシステムを改修、被疑箇所の特定と技術的な防御措置を実施した。原因は本システムで利用していた第三者製ソフトウェアの脆弱性を悪用されたことである。対象はSTNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブの6社のメールサービスで、解約済みや休眠中の利用者、ハッシュ化・暗号化されたパスワードも含む。
KDDIは関係法令などに基づき、個人情報保護委員会および総務省への報告・相談を含む必要な対応を進めており、利用者にパスワードの変更を求めている。
From: 
ISP事業者向けメールシステムに対する不正アクセスの発生について(KDDI株式会社 報道発表資料)
From: 当社メールサービスに対する不正アクセスの発生について(JCOM株式会社 ニュースリリース)
From: 【第一報】当社メールサービスへの不正アクセスの発生について(ニフティ株式会社)
【今すぐすべきパスワード対策】
「面倒だから後で」と思いがちですが、メールアドレスとパスワードの漏えいは、放置するほどリスクが連鎖します。下の表で、自分がやるべきことを上から順に確認してください。
| 対策 | やること | 理由・注意点 |
|---|---|---|
| 公式情報で対象確認 | @nifty、BIGLOBE、J:COM NET、コミュファ光、ピカラ光、CPIなどを現在または過去に使ったことがある場合、契約先の公式サイトで対象か確認する | メール内リンクではなく、必ず公式サイトを自分で開く。便乗フィッシング対策にもなる |
| メールパスワード変更 | 対象サービスのメールパスワードを早急に変更する | @niftyは2026年6月25日23時59分までの変更を案内。期限後は順次無効化される |
| BIGLOBE IDも確認 | BIGLOBE利用者は、BIGLOBEメールだけでなくBIGLOBE IDのログインパスワードも確認・変更する | BIGLOBEでは、漏えいの可能性がある情報としてBIGLOBE IDも挙げられている |
| 使い回しパスワードの変更 | 同じ、または似たパスワードを使っている銀行、EC、SNS、クラウドサービスなども変更する | 盗まれた認証情報を他サービスで試す「クレデンシャルスタッフィング攻撃」を防ぐため |
| メールソフト設定の更新 | Outlook、スマホのメールアプリ、Gmailアプリなどに保存しているパスワードを新しいものに更新する | メールパスワード変更後、アプリ側の設定が古いままだと送受信できなくなることがある |
| 多要素認証の有効化 | 対応しているサービスでは、SMSコード、認証アプリ、パスキーなどを設定する | パスワードが漏れても、不正ログインを防ぎやすくなる |
| 不審メールに注意 | 「パスワード変更のお願い」「緊急確認」などを装うメールのリンクを開かない | 今回の騒動に便乗したフィッシングが想定される。手続きは公式サイトから行う |
| 休眠アカウントの確認 | 以前使っていたメールアドレスや、解約済み・放置中のアカウントも確認する | 過去に登録した別サービスのパスワード再設定先になっている可能性がある |
| パスワード管理方法の見直し(+α) | サービスごとに別々の強いパスワードを設定し、必要ならパスワード管理ツールを使う | 人間が覚えやすいパスワードは使い回しになりがち。管理ツールで連鎖被害を防ぎやすくなる |
| ログイン履歴の確認(+α) | しばらくの間、メール、SNS、EC、金融系サービスのログイン履歴や通知を確認する | 身に覚えのないログイン、注文、パスワード再設定メールがあれば早めに対応できる |
※表のうち「(+α)」を付した2項目は、今回の発表で各社が直接求めている対応ではなく、同種の漏えいに備えるために編集部として推奨する習慣です。事案の事実関係と区別できるよう、印を添えています。
【対応しないと起こりうること】
メールを乗っ取られる
パスワードを変えない限り、第三者があなたのメールにログインできる状態が続きます。
他サービスへ連鎖する
メールは多くのサービスのパスワード再設定先です。握られると、SNSやショッピングのアカウントまで芋づる式に乗っ取られる恐れがあります。
金銭被害につながる
同じパスワードを銀行・ECで使い回していると、盗まれた組み合わせを自動試行され、不正利用される可能性があります。
休眠アカウントも危険
解約済み・休眠も対象です。放置中のアドレスが、過去に登録した別サービスへの侵入口になり得ます。
@niftyは期限後に使えなくなる
2026年6月25日23時59分までに変更しないと、メールパスワードが順次無効化され、送受信ができなくなります。
【編集部解説】
今回の一件を「またメールが漏れた」という一行で片づけてしまうと、本質を見失います。注目すべきは漏えいの規模そのものよりも、その「構造」です。KDDIはエンドユーザーの目に直接ふれる存在ではなく、複数のISPが提供するメールサービスの“裏側”を一手に担うインフラ提供者でした。KDDIが裏側の基盤を運営し、複数のISP事業者がその上でエンドユーザー向けのメールサービスを提供する。この構造が、被害を一気に6社へ広げたのです。
つまり本件は、典型的な「単一障害点(Single Point of Failure)」の問題と言えます。普段は見えない共通基盤が一カ所破られただけで、ブランドの異なる無数のサービスが同時に巻き込まれる。@niftyやBIGLOBEの利用者の多くは、自分のメールがKDDIの基盤で動いていたことを意識する機会は少なかったはずです。
ここで、報道に出回っている情報を一つ整理させてください。原因は「第三者製ソフトウェアの脆弱性」とされていますが、具体的なソフトウェア名やCVE番号は公表されていません。2025年のIIJの事案で使われたActive! mailの脆弱性(CVE-2025-42599)と混同した解説も見かけますが、両者は別件です。現時点で原因コンポーネントを断定するのは早計だと、私は考えています。
数字の扱いにも注意が必要です。一部の大手紙や海外メディアは「メール本文が流出した恐れもある」と報じていますが、KDDIの公式発表が漏えいの可能性として明記しているのは、あくまでメールアドレスとパスワードです。本文への言及はありません。事実と推測の線引きは、読者の判断のためにも明確にしておきたいところです。
「ハッシュ化・暗号化されたものも含む」という一文も、安心材料と読み違えないでください。これは裏を返せば、ハッシュ化されていない情報も含まれうるという意味です。どの範囲が平文かは公表されていないため、対象サービスの利用者は安全側に立って動くのが賢明でしょう。
では、何が実際のリスクなのか。最も警戒すべきは、盗まれた認証情報を他サービスのログインに使い回すクレデンシャルスタッフィング攻撃です。メールと同じパスワードを銀行やECサイトで使っていれば、被害はメールの枠を超えて連鎖します。加えて、今回の騒動に便乗し「パスワード変更のお願い」を装うフィッシングメールも想定されます。案内は必ず公式サイトから確認する。これが鉄則です。
見落とされがちなのが、解約済み・休眠アカウントも対象に含まれる点です。「もう使っていないから関係ない」と思っている人ほど、危ない。過去にそのアドレスで登録した別サービスへ、芋づる式に侵入される恐れがあるからです。
そして、この事案を単発の事故と見なすべきではありません。2025年4月にはIIJの「IIJセキュアMXサービス」が攻撃を受け、Active! mailのゼロデイ脆弱性が悪用されて総務省の行政指導に至りました。その後もTOKAIコミュニケーションズ、NTTPCコミュニケーションズと、メール関連の基盤やサービスを狙った侵害が続いています。共通するのは、組み込まれた他社製ソフトや基盤の弱点が突破口になり、一つの侵害が下流の事業者・利用者へ波及するという、サプライチェーン型の脆さです。
規制への影響も見据える必要があります。IIJの件が行政指導につながった前例を踏まえれば、今回もKDDIが関係法令に基づき進めている個人情報保護委員会・総務省への報告・相談が、再発防止策の検証へと進む可能性があります。共通基盤に依存するモデルそのものに、説明責任とガバナンスの強化が求められていく流れです。
公平を期すなら、KDDIの初動は評価できます。6月17日に侵害を確認し、同日中にシステム改修と防御措置を完了させたスピードは速い。ただし、攻撃がいつ始まり、どれだけの期間データに触れられていたのかは明らかにされておらず、被害の全容はなお調査中です。
長期的に見れば、この出来事は私たちに「自分のデジタル生活が、どの“見えない基盤”の上に成り立っているのか」を問い直させます。便利さの裏で進む集約化は、効率と引き換えに、壊れたときの影響範囲を静かに拡大させていく。だからこそ、パスワードの使い回しをやめ、多要素認証を有効にするという地味な一歩が、いまもっとも効く備えなのだと思います。
【用語解説】
ISP(インターネットサービスプロバイダー)
インターネット接続を提供する事業者のこと。今回は、各ISPが自社サービスとして見せているメール機能の“裏側”をKDDIが共通基盤として担っていた点が問題の核となった。
単一障害点(Single Point of Failure)
そこが一カ所壊れるだけでシステム全体が機能停止・被害拡大に至る、構造上の弱点を指す。共通基盤への依存は効率を生む一方で、この弱点も同時に生む。
サプライチェーン(型の侵害)
製品やサービスが多くの事業者の連なりで成り立つ構造のこと。上流(今回はKDDI基盤)が侵害されると、下流の事業者と利用者へ被害が連鎖的に波及する。
クレデンシャルスタッフィング攻撃
盗み出したメールアドレスとパスワードの組み合わせを使い、他のサービスへ自動的にログインを試みる攻撃。パスワードの使い回しがあると被害が一気に拡大する。
ハッシュ化・暗号化
パスワードをそのままの文字列で保存せず、変換して読めない形にする保護技術。ただし「含まれる」という表現は、変換されていない情報も混在しうることを意味する。
ゼロデイ脆弱性
開発元による修正が間に合っていない、対策不在の状態で突かれる脆弱性のこと。2025年のIIJの事案で悪用されたのがこの種の弱点だった。
CVE(CVE-2025-42599)
脆弱性を世界共通で識別するための管理番号。末尾の数字が個別の脆弱性を示す。なお今回のKDDIの事案では、原因となったソフトウェア名やCVE番号は公表されていない。
フィッシング
公式を装った偽メールや偽サイトへ誘導し、認証情報を盗む手口。「パスワード変更のお願い」を騙る便乗攻撃が想定されるため、案内は公式サイトから確認する必要がある。
多要素認証(MFA)
パスワードに加え、スマートフォンの確認コードなど別の要素を組み合わせて本人確認する仕組み。パスワードが漏れても不正ログインを防ぎやすくなる。
休眠アカウント
登録済みだが長期間使われていないアカウント。今回は解約済みのものとあわせて漏えい対象に含まれており、「もう使っていない」人ほど見落としやすい。
行政指導
法令違反や不適切な事案に対し、行政機関が是正や改善を促す措置。IIJの事案では総務省の行政指導に至っており、今回も報告先での対応が注目される。
【参考リンク】
KDDI株式会社(外部)
今回問題となったISP向けメール基盤を提供する通信大手。報道発表資料を同社ニュースルームで公開しており、本件の一次情報を確認できる。
株式会社STNet(ピカラ光)(外部)
四国電力グループの通信事業者で、四国を中心に光回線「ピカラ光」を提供。今回の対象6社の一社として利用者へ案内を行っている。
株式会社KDDIウェブコミュニケーションズ(CPI)(外部)
法人向けレンタルサーバー「CPI」を運営する事業者。そのCPIのメールサービスが、今回の漏えい対象に含まれている。
JCOM株式会社(J:COM NET)(外部)
ケーブルテレビ・ネット大手。自社「J:COM NET」に加え、各地のケーブルテレビ事業者へメール基盤を卸提供している点も影響範囲となる。
中部テレコミュニケーション株式会社(コミュファ光)(外部)
中部地方の電力系通信事業者。光回線「コミュファ光」「ビジネスコミュファ」を展開し、これらのメールサービスが対象に含まれる。
ニフティ株式会社(@niftyメール)(外部)
老舗のインターネット事業者。@niftyメールが対象で、6月25日23時59分を期限にメールパスワードの変更を呼びかけている。
ビッグローブ株式会社(BIGLOBEメール 不正アクセスのお詫びとご報告)(外部)
BIGLOBEメールアドレス・BIGLOBE ID・パスワードが漏えいの可能性と公表。自社としての確認は6月21日と記載した一次情報。
株式会社インターネットイニシアティブ(IIJ)(外部)
2025年に「IIJセキュアMXサービス」で大規模なメール関連情報の漏えい可能性を公表。本件と比較する文脈で登場する事業者。
個人情報保護委員会(外部)
個人情報の適正な取り扱いを所管する国の機関。KDDIが本件の報告・相談を進めている先の一つで、今後の対応が注目される。
総務省(外部)
電気通信行政を所管する省庁。過去のメール侵害事案では行政指導に至った実績があり、本件でも報告を受けた今後の対応が焦点となる。
【参考記事】
14 M. Sets of Email Info Possibly Leaked in Cyberattack on KDDI(時事通信 英語版)(外部)
KDDIのメール基盤侵害で最大約1,422万件が漏えいの可能性と報じ、対象6社名と原因の脆弱性、パスワード変更要請を伝える英語記事。
Breach at Japan telecom company may expose up to 14 mln email addresses, passwords(新華社 英語版)(外部)
最大約1,422万件露出の可能性を伝える海外向け報道。6月17日に検知・同日修復、調査継続中とし、メール本文の可能性にも触れる。
KDDI – Unauthorised System Access May Have Exposed Up To 14.2 Mln Email Accounts, Passwords(ロイター)(外部)
最大約1,422万件のメールアカウントとパスワードが、不正なシステムアクセスで露出した可能性を簡潔に報じたロイター発の速報。
KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード 最大1,422万件が漏洩の恐れ(セキュリティ対策Lab)(外部)
原因ソフト名やCVEが未公表でau等は影響外と整理し、IIJなど2025年以降のメール基盤連鎖侵害の系譜まで掘り下げた解説記事。
KDDI、ISP向けメールシステムへの不正アクセスを公表(JAPANSecuritySummit Update)(外部)
クレデンシャルスタッフィングのリスクや多要素認証の有効化など、利用者が取るべき技術的対策の観点を補強したセキュリティ専門記事。
KDDI、メール情報1422万件に漏洩疑い 不正アクセスで(日本経済新聞)(外部)
メール本文流出の恐れにも言及。東京商工リサーチの統計(2025年に180件、被害は前年比約2倍の3000万人超)も併せて伝える。
【関連記事】
任天堂、WebMD子会社TinyPulseへのサイバー攻撃で従業員データ流出を確認(内部)
本体ではなく利用していた外部サービスが破られた事案。「堅牢な城でも出入り業者の鍵から侵入される」という、本件と同じ第三者経由の構図を扱う。
マネーフォワード『GitHub』不正アクセス、ビジネスカード370件流出可能性──銀行連携を一時停止(内部)
日本のフィンテック大手が第三者プラットフォーム経由で侵害された事案。サプライチェーン型の漏えいという観点で本件とつながる。
Instructure社「Canvas」大規模ハッキング、学生データが脅迫材料に(内部)
少数のクラウドベンダーへの依存が、被害を世界の多数の機関へ一気に広げた事例。本件の「単一障害点」という論点と直結する。
【編集部後記】
取材を進めるほど、今回の出来事は「どこか遠くの大企業の話」ではないと感じました。私たちのメールアドレスは、いつのまにか暮らしのあらゆるサービスの“鍵穴”になっています。その鍵を、見えない誰かに預けっぱなしにしていないか——。便利さを手放す必要はありません。ただ、ときどき立ち止まって自分のデジタルの足元を確かめる。その習慣こそが、変化の速い時代をしなやかに歩く力になると、私は信じています。
なお、対策表の末尾に「+α」として添えた2つ——パスワード管理ツールの活用と、しばらくのあいだログイン履歴を見守ること——は、今回のKDDIの発表が直接求めているものではありません。けれど、こうした事案は今後も形を変えて起こり得ます。今回をきっかけに、ひとつでも取り入れていただけたら、次に同じようなニュースが流れたとき、きっと少し落ち着いて受け止められるはずです。無理のない範囲で、できることから。それで十分だと思います。
