画像：KDDI 株式会社より引用

KDDI株式会社は2026年6月23日、同社がインターネットサービスプロバイダー事業者向けに提供しているメールシステムに対する不正アクセスが発生し、メールサービス利用者の情報のうち、最大1,422万件のメールアドレスやパスワードが外部に漏えいした可能性があると発表しました。

説明によると、同社は2026年6月17日、ISP事業者（インターネット接続サービスを提供している事業者）向けのメールシステムが不正アクセスを受けていたことを確認しました。調査の結果、不正アクセスの原因は、同システムで利用していた第三者製ソフトウェアに内在していた脆弱性であり、何者かがこれを悪用したことにより、対象メールサービスの利用に必要なメール関連情報が漏えいした可能性が生じました。

KDDIによると、対象となるISP事業者は、STNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブの6社です。対象サービスには、STNetの「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に係るメールサービス、KDDIウェブコミュニケーションズのレンタルサーバー「CPI」のメールサービス、JCOMの「J NET」、ニフティの「@nifty メール」、ビッグローブの「BIGLOBE メール」などが含まれます。

漏えいした可能性がある情報は、対象事業者のメールサービスで作成されたメールボックスに紐づくメールアドレスやパスワードで、ハッシュ化または暗号化されたものも含まれます。KDDIは現在も調査を継続しており、件数については最大値として公表しています。

なお、不正利用が懸念されることから、同社は利用者に対して、ISP事業者から提供される情報を確認したうえで、早急にメールパスワードを変更するよう呼びかけています。

参照ISP 事業者向けメールシステムに対する不正アクセスの発生について｜KDDI 株式会社

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録はこちらから