パスワード不要で便利な「回線認証」が、ユーザー識別の根幹で誤作動を起こしたらどうなるか。ソフトバンクで発生したプロキシーサーバーの不具合は、他人の個人情報が表示され、メッセージが誤送信されるという、通信インフラの信頼性を揺るがす事態を引き起こしました。サイバー攻撃ではなく、内部システムの不具合が4カ月間も潜在していたという事実は、私たちが日常的に使うサービスの複雑さと脆弱性を浮き彫りにしています。
ソフトバンク株式会社は2026年1月27日、プロキシーサーバーのソフトウェア不具合により個人情報の誤表示などが発生したと発表した。2025年9月25日に導入したプロキシーサーバーに不具合があり、2026年1月13日のネットワーク設備の設定変更で発生頻度が高まった。主な発生期間は2026年1月13日午前9時47分から1月17日午前2時22分まで。
影響件数は、My SoftBankでの他人の情報表示が2,019件、S!メールおよびワイモバイルのMMSで送信元が他人に入れ替わる事象が2,209件、他人宛てのMMS受信が1,906件、+メッセージで他人のアカウントになる事象が2,241件である。原因は外部からのサイバー攻撃ではなく、プロキシーサーバーのソフトウェア不具合と判明している。
現時点で全ての事象は復旧済みである。
From: 
プロキシーサーバーの不具合による事象の発生について – ソフトバンク
【編集部解説】
今回の事案は、通信事業者が提供する「回線認証」という仕組みの根幹を揺るがす深刻なインシデントです。回線認証とは、携帯電話回線から接続することで自動的に本人確認を行う技術で、IDやパスワードを入力せずにログインできる利便性から、多くのサービスで採用されています。この仕組みが機能不全に陥ったことで、ユーザー識別という最も基本的な部分で誤作動が発生しました。
プロキシーサーバーは、クライアントとWebサーバーの間に立って通信を中継する装置です。本来はセキュリティ強化やアクセス制御のために導入されるものですが、今回はその中核システムにソフトウェアの不具合があり、複数の処理が同時多発的に発生する高負荷状態で、ユーザーの識別情報が入れ替わってしまう状況が生じていました。
特に注目すべきは、この不具合が2025年9月25日の導入時点から潜在していた点です。約4カ月間、気づかれることなく稼働し続け、2026年1月13日のネットワーク設定変更をトリガーに顕在化しました。ソフトバンクの公式発表によれば、4つの事象で合計8,375件の影響があり、設定変更前の期間を含めると最大8,575件に達する可能性があります。
影響範囲は多岐にわたります。My SoftBankでは氏名、住所、生年月日、電話番号、契約内容、請求金額といった機密性の高い情報が他人に表示され、メッセージングサービスでは送信元が他人に入れ替わる、他人宛てのメッセージを受信するといった事象が発生しました。これは単なる閲覧だけでなく、+メッセージでは他人のアカウントとしてメッセージの送受信が可能な状態だったことを意味します。
通信事業者には電気通信事業法に基づく重大事故報告義務があり、30日以内に総務大臣へ事故の概要、原因、再発防止策を報告する必要があります。また個人情報保護法上も、発覚から3〜5日以内に速報、30日以内に確報を個人情報保護委員会に提出する義務があります。ソフトバンクは監督官庁への報告を行うとともに、影響を受けた顧客への個別連絡を進めているとしています。
海外メディアもこの事案を”identity mix-up”(アイデンティティの混同)として報じており、顧客データが体験の中心にある時代において、いかに信頼が脆弱であるかを浮き彫りにしたと指摘しています。再発防止策として、データの整合性確認の強化、監視項目とアラート条件の見直しが挙げられていますが、通信インフラの信頼性回復には時間を要するでしょう。
この事案は、サイバー攻撃ではなく内部のソフトウェア不具合が原因である点も重要です。外部からの攻撃だけでなく、システムの複雑化に伴う内在的なリスクにも目を向ける必要性を示唆しています。
【用語解説】
プロキシーサーバー
クライアント(利用者の端末)とWebサーバーの間に立って通信を中継する装置またはソフトウェア。アクセス制御、キャッシュによる高速化、セキュリティ強化などの目的で導入される。企業や通信事業者のネットワークにおいて、内部ネットワークと外部インターネットの境界に配置されることが多い。
回線認証
携帯電話回線からアクセスすることで、IDやパスワードの入力なしに自動的に本人確認を行う認証方式。通信事業者が契約者の回線情報を識別することで実現される。利便性が高い反面、回線の識別情報が誤って処理されると、今回のように他人として認証されるリスクがある。
MMS(Multimedia Messaging Service)
携帯電話のメールアドレスを使って、テキストに加えて画像や動画などのマルチメディアファイルを送受信できるメッセージングサービス。ソフトバンクでは「S!メール」、ワイモバイルでは「MMS」として提供されている。
+メッセージ(プラスメッセージ)
NTTドコモ、KDDI、ソフトバンクの3社が共同で提供するメッセージングサービス。電話番号だけでメッセージや写真、スタンプなどを送受信できる。SMS(ショートメッセージ)の進化版として位置づけられる。
電気通信事業法
電気通信事業の公共性に鑑み、その運営を適正かつ合理的なものとすることを目的とした法律。通信事業者には重大な事故が発生した場合、30日以内に総務大臣へ報告する義務が課されている。
個人情報保護法
個人情報の適正な取扱いに関するルールを定めた法律。2022年の改正により、漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化された。通信事業者を含む事業者は、1,000人以上に影響がある場合などに速やかに報告する必要がある。
【参考リンク】
ソフトバンク株式会社(外部)
日本の大手通信事業者。今回のプロキシーサーバー不具合により、合計8,375件の個人情報に影響が出たと発表した。
My SoftBank(外部)
ソフトバンクの契約者向けオンラインサービス。今回の不具合では、ログイン時に他人の契約情報が表示される事象が発生した。
個人情報保護委員会(外部)
個人情報保護法に基づき、事業者からの漏えい報告の受理や監督を行う日本の行政機関。
総務省 電気通信事業部(外部)
電気通信事業法を所管する行政機関。通信事業者による重大事故の報告を受け、適切な監督・指導を行う。
【参考記事】
SoftBank System Glitch Highlights Why Identity Is a CX Problem(外部)
海外メディアによる分析記事。ソフトバンクの事案を顧客データ時代における信頼の脆弱性を示すものと指摘している。
「My SoftBank」で他人の情報が表示される障害(外部)
ケータイWatchによる報道。My SoftBankにおける他人の情報表示障害と回線認証の仕組みについて詳報している。
個人情報保護委員会への漏えい報告義務があるのはどんなケース?(外部)
個人情報保護法に基づく報告義務について解説。1,000人以上に影響がある場合など、報告が必要なケースを説明している。
電気通信事故報告制度について(総務省)(外部)
電気通信事業法に基づく事故報告制度の詳細資料。重大事故の定義、報告期限、報告内容などが記載されている。
【編集部後記】
今回の事案は、私たちが日常的に利用している「パスワード不要のログイン」という便利さの裏側に潜むリスクを示しています。サイバー攻撃ではなく、システム内部の不具合が4カ月間も気づかれずに稼働していたという事実は、通信インフラの複雑さを物語っているのではないでしょうか。
みなさんは、回線認証をどれほど利用されていますか?便利さとセキュリティのバランスについて、改めて考える機会になればと思います。通信事業者への信頼をどう再構築していくか、一緒に見守っていきましょう。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
