最大で1,422万件のメールアドレス・パスワードが漏えいした可能性

KDDIは、6月23日、インターネットサービスプロバイダー（ISP事業者）向けに提供するメールシステムが不正アクセスを受け、最大で1,422万件のメールアドレス・パスワードが漏えいした可能性があると発表しました。

ISP事業者向けメールシステムに対する不正アクセスの発生について（KDDI株式会社 プレスリリース 2026.06.23）

6月24日時点で判明している、漏えいした可能性のある情報、対象のISP事業者・メールサービス、発生経緯等は以下とされています。

対象のISP事業者・メールサービス

・株式会社STNet：「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に係るメールサービス
・株式会社KDDIウェブコミュニケーションズ：レンタルサーバー「CPI」のメールサービス
・JCOM株式会社：「J:COM NET」とケーブルテレビ事業者向けメールサービス
・中部テレコミュニケーション株式会社（ctc）：コミュファ光・ビジネスコミュファのメールサービス
・ニフティ株式会社：@niftyメール
・ビッグローブ株式会社：BIGLOBEメール

漏えいした可能性のある情報

対象のメールサービスで作成されたメールボックスに紐づくメールアドレス・パスワード 最大 1,422万件
※解約したユーザーや一定期間利用のないユーザーも含む
※パスワードには、ハッシュ化・暗号化されたものも含む

発生経緯

・6月17日、KDDI株式会社がISP事業者向けに提供するメールシステムへ不正アクセスを受けていたことを確認。同日、同社は被害拡大防止のため、当該システムを改修。被疑箇所を特定し、技術的な防御措置を実施。

・調査の結果、不正アクセスは、当該メールシステムで利用していた第三者製ソフトウェアの脆弱性を悪用されたものであり、メール関連情報の漏えいの可能性が判明。引き続き、影響範囲の特定等に向け、調査を継続中。

KDDIから対象のISP事業者への連絡等

6月17日以降、KDDI株式会社より、各ISP事業者へ順次連絡を実施し、対策を協議、導入中。メールアドレス、パスワードが第三者に不正に取得されている可能性があり、ユーザーのパスワードの変更が必要となるため、各ISP事業者と連携し、ユーザーへの周知等を進める。

パスワードを使い回ししていた場合はすべて変更を

漏えいの可能性があるパスワードは早急な変更が求められます。また、そのパスワードと同じパスワードを他のWebサービス等で使い回しをしていた場合もあるかと思われます。そのような場合は、他のWebサービス等でも不正ログインのリスクが高まるため（後述）、使い回しをしていたパスワードの変更も必要となります。パスキーや多要素認証の設定が必要なサービスにおいては、それらの設定が推奨されます。

パスキーや多要素認証、また、そもそものパスワードだけによる認証のリスク等については当ブログ過去記事「パスワードのリスクと対策 」にてご説明しておりますのでご参照ください。

パスワード等が漏えいした可能性がある場合に発生するリスクと対策

認証情報（ID/メールアドレス、パスワード等）が漏えいした可能性がある場合、悪意のある第三者に不正に取得・悪用され、様々なリスクが発生する恐れがあります。以下に、一般的に考えられるリスクと対策を列挙します。

対象のサービスに不正ログインされるリスク

あるWebサービスAの認証情報が漏えいした場合、それを悪用され、WEBサービスAへ不正ログインされるリスクが考えられます。不正ログインが成功した場合、サービス上に保管されていた情報が盗まれてしまいます。

また、利用者になりかわってサービスを悪用されるリスクもあります。例えばメールサービスの場合であれば、攻撃メールを送るための踏み台として悪用されるといったことが考えられます。SNSの場合、利用者の意に反した投稿が行われる可能性があります。

対策

□対象のサービスのパスワードを早急に変更する
□対象のサービスでパスキーや多要素認証の設定ができる場合、設定する

同じパスワードを使い回していた他のサービスに不正ログインされるリスク

攻撃者が、WebサービスAの認証情報を悪用し、他のWebサービスへの不正ログインを試みる可能性があります（パスワードリスト攻撃）。特にIDがメールアドレスのために同一であり、かつ、パスワードを使い回しているような場合は、不正ログインされる恐れが高くなります。

対策

□使い回しをしていたパスワードの変更
□パスワードを使い回していたサービスでパスキーや多要素認証の設定ができる場合、設定する

漏えいしたパスワード等がブラックマーケットで攻撃者に購入されるリスク

一般的にはアクセスが困難な、ダークウェブと呼ばれるインターネットの領域があります。そこでは悪意を持つ攻撃者達が盗難データや攻撃用ツール等を売買するダークマーケットがあり、漏えい等した認証情報も売買されています。

ダークマーケットで認証情報を購入した攻撃者達はそれを不正ログイン等に悪用します。ダークマーケットの存在により、上述したような不正ログイン等のリスクが高まっていると言えます。

以上、パスワード等が漏えいした可能性がある場合に発生するリスクと対策についてご説明しました。パスキーや多要素認証、また、そもそものパスワードだけによる認証のリスク等については当ブログ過去記事「パスワードのリスクと対策 」にてご説明しておりますのでご参照ください。

ブログの新規公開をメールでお知らせします

当機構では、ブログの新規公開をニュースレターにてお知らせしております。ニュースレターの受信をご希望の方はこちらのフォームよりお気軽にお申込みください。