本稿は、2026年6月24日公開の第一報「KDDIメール基盤に不正アクセス|1,422万件漏えいの可能性と今すぐすべきパスワード対策」の続報である。第一報で「最大1,422万件が漏えいの可能性」と伝えた事案について、その後の確定値と新事実を報じる。
KDDI株式会社は2026年7月6日、ISP事業者向けメールシステムへの不正アクセスに関する報告書を、総務省へ提出したと発表した。この不正アクセスは、本システムに組み込まれた第三者製ソフトウェアの脆弱性を悪用されたもので、一部のISP事業者では2026年5月16日から発生していた。KDDIは6月17日に不正アクセスを確認し、同日中に本システムを改修した。漏えいの事実が確認された情報は、本システムで作成された電子メールアドレスが12,233,087名分、パスワードが7,616,173名分である。パスワードの人数は、メールアドレスの人数の内数となる。auメール、UQ mobileメール、au one netメールは別設備で構築されており、影響はない。KDDIは6月21日に外部通信を制御する全サーバーへEDRを導入し、6月23日に第三者機関のフォレンジック調査で他の不審な痕跡がないことを確認した。
From:
ISP事業者向けメールシステムに対する不正アクセスについてのお詫びとご報告(KDDI株式会社 報道発表資料)
【編集部解説】
まず押さえたいのは、今回のKDDIの発表が第一報の「続報」だという点です。6月24日の第一報では「最大1,422万件が漏えいした可能性」という調査中の上限値をお伝えしましたが、7月6日の発表では、その一部が確定値へと置き換わりました。実際に漏えいの事実が確認されたのは、電子メールアドレスが1,223万3,087件、うちパスワードが761万6,173件(内数)です。可能性の話が、事実の話に変わった——ここが今回のニュースの節目です。
一方で、数字が「上限より下がった」ことを安心材料と読むのは早計です。KDDI自身、調査が完全に終了したとは明言しておらず、あくまで現時点で事実として確認できた件数であるにすぎません。むしろ確定したことで、この規模の漏えいが「起きなかったかもしれない出来事」から「現実に起きた出来事」へと性格を変えた、と受け止めるべきでしょう。
続報でもう一つ重い意味を持つのが、時間軸の判明です。不正アクセスは一部のISPで5月16日から発生しており、KDDIが調査した結果、6月17日に確認へ至ったという経緯が明らかになりました。攻撃の開始から検知まで、実に1カ月以上。この空白期間の長さこそ、共通基盤を預かる事業者が背負うリスクの重さを物語っています。
技術的に見逃せないのは、突かれた穴が「未知の弱点」だった事実です。悪用された脆弱性は、KDDIが確認した6月17日時点でソフトウェアベンダー自身も認識していない状態だったとされます。KDDI自身は「ゼロデイ」という語こそ用いていませんが、ベンダー未把握の段階で突かれたという説明は、実質的にゼロデイに相当します。つまり、その時点で当てるべき修正パッチがそもそも存在しなかった可能性が高い。防御側にとって最も厄介なタイプの攻撃だったわけです。
では、なぜ被害が6社に一気に広がったのか。ここが本件の構造的な核心です。KDDIはauやUQ mobileの表側ではなく、複数のISPのメールを裏側で支える「共通の土台」を提供していました。土台が一カ所破られれば、その上に乗る全ブランドが同時に巻き込まれる。効率と引き換えに集約を進めた結果、壊れたときの影響範囲が静かに膨らんでいた——これは編集部の見立てですが、典型的な「単一障害点」の問題だと言えます。
被害の内訳を見ると、この波及構造がより具体的に浮かびます。7月6日にかけて各社が自社分を公表しており、JCOMはJ:COM NETで247万3,191名、ケーブルテレビ事業者向けで11万9,885名(うちパスワード1,257名)、STNetは45万6,159件、KDDIウェブコミュニケーションズ(CPI)は125万543名(パスワード漏えいはなし)、BIGLOBEはメールアドレス・BIGLOBE ID計501万6,432名分・パスワード463万1,775名分、ニフティは224万8,708名分・パスワード186万2,462名分、中部テレコミュニケーション(コミュファ光)は72万7,176名・パスワード72万4,344名と発表しています。なお、各社の発表は「名」「件」「IDを含む」など単位や範囲が異なるため、単純に合算できるものではありません。同じ「KDDIの基盤」に乗っていても、事業者ごとに被害の質量が大きく異なる点は、利用者が自分の契約先を個別に確認すべき理由でもあります。
利用者にとっての実害は、メールアカウントの乗っ取りだけにとどまりません。最も警戒すべきは、盗んだIDとパスワードの組み合わせを他サービスへ自動で試す「クレデンシャルスタッフィング攻撃」です。メールと同じパスワードを金融サービスや業務システムで使い回していれば、被害はメールの枠を超えて波及しうると、専門メディアも警鐘を鳴らしています。
ここで、報道の混乱を一つ整理しておきます。日本経済新聞などはメール本文が流出した恐れにも言及していますが、KDDIの公式発表が漏えいの事実として明記しているのは、あくまでメールアドレスとパスワードです。同様に、原因となった具体的なソフトウェア名やCVE番号も、本稿執筆時点で公表されていません。2025年のIIJ事案で使われたActive! mailの脆弱性(CVE-2025-42599)と混同する解説も見られますが、両者は別件です。事実と推測の線は、はっきり引いておく必要があります。
パスワードの保護形式についても、慎重な読み方が要ります。第一報では「ハッシュ化・暗号化されたものを含む」と説明されていました。これは変換済みの情報が中心であることを示唆しますが、どの範囲がどの形式で保存されていたのか、その詳細は十分に公表されていません。安心材料と決めつけず、対象サービスの利用者は安全側に立って動くのが賢明でしょう。
利用者側の当面の防御についても、進捗が見えてきました。KDDIはISPと連携し、ふだんメールをあまり使わない顧客も含めた安全確保のため、パスワードの強制変更を7月8日をめどに完了させる方針を示しています。実際、JCOMのようにパスワード漏えい対象者へのリセットが完了したと報告する事業者も出ています。近く自動的に切り替わる見込みですが、待つより先に自分で動くほうが確実です。
規制の観点では、今後の展開が焦点になります。総務省は電気通信事業法にもとづく「報告徴収」を行い、KDDIは7月6日に報告書を提出しました。報告内容次第では、行政指導などより踏み込んだ対応へ発展する可能性もあります。2025年のIIJ事案では、報告徴収を経て最終的に総務省の行政指導に至りました。今回は漏えい規模がIIJの事案を上回るだけに、報告書の評価が注目されます。
【関連記事】
【第一報】KDDIメール基盤に不正アクセス|1,422万件漏えいの可能性と今すぐすべきパスワード対策(内部)
本稿の第一報。「最大1,422万件の可能性」段階で対象6社と初動、利用者が取るべき対策を整理した記事。まず前提を押さえるならこちら。
任天堂、WebMD子会社TinyPulseへのサイバー攻撃で従業員データ流出を確認(内部)
本体ではなく利用する外部サービスが破られた事案。第三者経由で侵害が波及する本件と同じ構図を扱う。
Instructure社「Canvas」大規模ハッキング、学生データが脅迫材料に(内部)
少数のクラウド基盤への依存が被害を多数の機関へ広げた事例。本件の「単一障害点」の論点と直結する。
アフラック不正アクセスで438万人分の個人情報漏えい、23万人は口座情報も(内部)
2026年7月公表の国内大規模漏えい事案。行政の報告要求や「今すぐの自衛策」という読者導線が本件と重なる。
「守る側」が繰り返し狙われる理由|Trellix ソースコードリポジトリ侵害(内部)
供給元の侵害が多数の下流組織の入口になる構造を論じる。本件のサプライチェーン型の脆さと通じる。
【編集部後記】
第一報を書いたとき、正直なところ数字はまだどこか遠くにありました。「最大1,422万件の可能性」という言い方には、まだ逃げ道のような余白があって、心のどこかで「そこまでではないかもしれない」と思っていた気がします。でも今回、1,223万件・761万件という確定した数字を前にして、その余白は消えました。可能性の話をしていたときよりも、事実になったいまのほうが、静かに重い。そういう種類のニュースだったのだと、あらためて受け止めています。
引っかかっているのは、攻撃が5月16日から始まっていた、という時間の長さです。私たちがふだんメールを開いて、いつもどおりの一日を過ごしているあいだ、見えないところで一カ月以上、誰かがその裏側に触れていた。気づけなかったのは特定の誰かの怠慢ではなく、便利さと引き換えに「共通の土台」へどんどん寄りかかっていく、この時代の作り方そのものに理由があるように思えます。効率を選んだぶんだけ、壊れたときの影響が広がる。今回はそれが、6社という形で目に見えました。
とはいえ、こういう話を聞くたびに身構えて、便利なものを手放していたら、きっと生活は回りません。だから完璧を目指さなくていいのだと思います。パスワードの使い回しをひとつやめる。使っている大事なサービスに、認証をもうひとつ足しておく。強制変更を待つのではなく、気になったいま自分の手で変えておく。地味だけれど、次に同じようなニュースが流れたとき、あわてずにいられる自分をつくるのは、たぶんそういう小さな一手です。
【用語解説】
ISP(インターネットサービスプロバイダー)
インターネット接続を提供する事業者のこと。@niftyやBIGLOBEなどが該当する。今回は、各ISPが自社サービスとして見せているメール機能の“裏側”を、KDDIが共通の基盤としてまとめて担っていた点が問題の核心となった。
単一障害点(Single Point of Failure)
そこが一カ所壊れるだけで、システム全体の停止や被害の拡大につながる構造上の弱点を指す。共通基盤への集約は効率を生む一方で、この弱点も同時に抱え込む。今回、1つの脆弱性が6社へ波及した背景にある考え方である。
ゼロデイ脆弱性
開発元(ベンダー)自身も気づいておらず、修正プログラムがまだ存在しない段階で突かれる脆弱性のこと。防御側はパッチを当てようがないため、最も対処が難しい。今回KDDIが確認した6月17日時点で、ベンダー未把握の状態だったと説明されている。
クレデンシャルスタッフィング攻撃
盗み出したメールアドレスとパスワードの組み合わせを使い、他のサービスへ自動的にログインを試みる攻撃。パスワードの使い回しがあると、被害がメールの枠を超えて金融やECサービスへ一気に連鎖する。
ハッシュ化・暗号化
パスワードをそのままの文字列で保存せず、変換して読めない形にする保護技術。ただし今回は、どの範囲がどの形式で保存されていたのか詳細が公表されておらず、安心材料と読み違えないよう注意が要る。
EDR(Endpoint Detection and Response)
サーバーやPCといった末端(エンドポイント)の不審な挙動を検知し、対処する仕組み。KDDIは2026年6月21日に、外部通信を制御する全サーバーへの導入を完了したと発表している。
フォレンジック調査
不正アクセスなどの発生後に、デジタル機器へ残された痕跡を専門的に解析し、被害範囲や侵入経路を突き止める“デジタル鑑識”のこと。KDDIは第三者機関による調査で、本脆弱性以外の不審な痕跡がないことを確認したとしている。
報告徴収
電気通信事業法にもとづき、総務省が事業者へ事実確認と説明を求める監督手段。制裁というより「説明責任の要求」に近いが、報告内容が不十分と判断されれば、行政指導などより強い対応へ段階的に進む可能性がある。
電気通信事業法 第166条第1項
総務大臣が電気通信事業者に対し、業務に関する報告を求めることができると定めた条文。今回、総務省がKDDIへ報告徴収を行った法的根拠にあたる。
サプライチェーン(型の侵害)
製品やサービスが多くの事業者の連なりで成り立つ構造のこと。上流(今回はKDDIの基盤)が侵害されると、下流の事業者や利用者へ被害が連鎖的に波及する。近年のメール基盤を狙った攻撃に共通する脆さである。
【参考リンク】
KDDI株式会社(外部)
ISP向けメール基盤を提供する通信大手。ニュースルームで一連の報道発表資料を公開し、本件の一次情報を確認できる。
ニフティ株式会社(@nifty)(外部)
老舗のインターネット事業者。@niftyメールが対象で、メールアドレス224万件超・パスワード186万件超の漏えいを公表している。
ビッグローブ株式会社(BIGLOBE)(外部)
BIGLOBEメールを提供。メールアドレス・BIGLOBE ID計501万件超、パスワード463万件超の漏えいを第二報で公表している。
JCOM株式会社(J:COM)(外部)
ケーブルテレビ・ネット大手。J:COM NETで247万件超の漏えいを確認し、パスワード漏えい対象者へのリセット完了を報告している。
中部テレコミュニケーション株式会社(コミュファ光)(外部)
中部地方の電力系通信事業者。「コミュファ光」「ビジネスコミュファ」で72万名超のメールアドレス漏えいを公表している。
株式会社STNet(ピカラ光)(外部)
四国電力グループの通信事業者。四国を中心に光回線「ピカラ光」を提供し、45万件超の組み合わせ漏えいを公表している。
株式会社KDDIウェブコミュニケーションズ(CPI)(外部)
レンタルサーバー「CPI」を運営。メールアドレス125万名超が対象だが、パスワードの漏えいはなかったと公表している。
株式会社インターネットイニシアティブ(IIJ)(外部)
2025年に「IIJセキュアMXサービス」で大規模なメール漏えいの可能性を公表。本件と比較する文脈で登場する。
個人情報保護委員会(外部)
個人情報の適正な取り扱いを所管する国の機関。KDDIが本件の報告・相談を進めている先の一つである。
総務省(外部)
電気通信行政を所管する省庁。過去のメール侵害では行政指導の実績があり、本件でも報告徴収を行っている。
【参考記事】
KDDI、761万人分のパスワード漏洩確認 不正アクセスで(日本経済新聞)(外部)
7月6日の続報。5月16日発生・6月17日確認の経緯と、強制変更7月8日目途を伝える記事。
KDDI、メール情報1422万件に漏洩疑い 不正アクセスで(日本経済新聞)(外部)
第一報段階の記事。メール本文流出の恐れにも言及しており、本文で触れた報道の出典にあたる。
(更新)当社メールサービスに対する不正アクセスの発生について(JCOM株式会社)(外部)
J:COM NETで247万3,191名の漏えいを確認した7月6日続報。本文のJCOM件数の一次情報にあたる。
KDDI、メールシステムへの不正アクセスで1,223万件のメールアドレスが漏洩、パスワードは761万件 漏洩(セキュリティ対策Lab)(外部)
確定件数の内訳を整理した続報。各ISP社の内訳を横断的にまとめ、全体像の把握に用いた。
総務省がKDDIに「報告徴収」の行政処分(セキュリティ対策Lab)(外部)
規制面を解説。IIJ事案(CVE-2025-42599)との比較から、今後の行政対応の見通しを整理した記事だ。












