PC Watchは2026年6月23日、KDDIが運営するISP向けメールシステムへの不正アクセスが発覚し、最大1,422万件のメールアドレスおよびパスワードが漏洩した可能性があると報じた。BIGLOBE、@niftyをはじめとする国内主要ISPのメールサービスが対象となっており、解約・休眠アカウントも含まれるため、影響範囲は非常に広い。
何が起きたか——脆弱性を突かれたサードパーティ製ソフト
KDDIによると、同社が6月17日にISP向けメールシステムへの不正アクセスを確認。調査の結果、システムが利用していたサードパーティ製ソフトウェアの脆弱性が悪用されたことが判明した。漏洩した可能性のある情報はメールアドレスとパスワードに限定されているとされるが、パスワードが平文またはクラック可能な形式で保管されていた可能性を排除できない点が懸念される。
影響を受けたISP事業者およびサービスは以下の通り。
| 事業者 | 対象サービス |
|---|---|
| STNet | ピカラ光・ピカラモバイル・お仕事ピカラのメールサービス |
| KDDIウェブコミュニケーションズ | レンタルサーバー「CPI」のメールサービス |
| JCOM | J:COM NETおよびケーブルテレビ事業者向けメールサービス |
| 中部テレコミュニケーション | コミュファ光・ビジネスコミュファのメールサービス |
| ニフティ | @niftyメール |
| ビッグローブ | BIGLOBEメール |
なぜこの事案が重大か
漏洩件数の「最大1,422万件」という数字は、2026年に国内で発生した個人情報漏洩事案の中でも突出して大きい。さらに深刻なのはパスワードも含まれている点だ。メールアドレス単体の漏洩であれば主にスパムリスクに留まるが、パスワードとのセット流出は「クレデンシャルスタッフィング攻撃」——他サービスへの不正ログイン試行——に直結する。
PC Watchの報道によれば、KDDIはシステム改修と技術的防御措置を既に実施済みだが、ユーザー側でのパスワード変更を「早急に」求めている。これは技術的対策だけでは、すでに流出した認証情報の悪用を止められないことを意味する。
日本市場での注目点
今すぐ取るべき行動
該当するISPのメールサービスを利用している場合、以下の対応を優先してほしい。
- 各ISP事業者からの案内を確認する——BIGLOBE・@nifty・J:COMなど各社がパスワード変更の手順を案内中
- メールパスワードをすぐ変更する——同じパスワードを他サービスで使い回していた場合はそちらも即変更
- 重要サービスのMFAを見直す——ISPメール自体にMFAがない場合、連携している主要サービスの多要素認証を必ず有効にする
「ISPメール」の使い方を見直す機会
今回の件で改めて浮き彫りになるのが、「ISPメールをメインアドレスとして使い続けることのリスク」だ。プロバイダー乗り換えで捨てられない・今回のような大規模管理システムの脆弱性に巻き込まれる——こうしたリスクを踏まえると、GmailやOutlookなどプロバイダー非依存のメールサービスへの移行を本格的に検討するタイミングかもしれない。
筆者の見解
今回の件で注目すべきは「サードパーティソフトウェアの脆弱性」という原因だ。KDDIのような大手であっても、自社開発だけですべてを賄うのは現実的でない。しかしサードパーティコンポーネントの脆弱性管理は、現代のシステム運用における最大の難題の一つになっており、1,422万件という数字はその一点突破リスクをまざまざと示している。
インフラが集約されていることは効率的だが、一点突破されたときの影響範囲も同様に広がる。SBOMの整備やサプライチェーンセキュリティへの投資は「コスト」ではなく「必要なインフラ」という認識が、日本のIT業界全体にまだ十分に根付いていない。今回の事案はその現実を突きつけている。
ユーザーとして今できることは限られるが、パスワードの使い回しをやめ、重要サービスにMFAを設定することは今すぐできる最低限の自衛策だ。KDDIおよび各ISPには、詳細な技術情報の早期開示と、再発防止に向けたサードパーティ管理体制の強化を期待したい。
出典: この記事は KDDI、ISPメールシステムに不正アクセス、最大1,422万件漏洩か。BIGLOBE、niftyなど影響 の内容をもとに、筆者の見解を加えて独自に執筆したものです。