KDDIメール基盤から最大で1422万件漏えい ニフティやBIGLOBEなど6社に波及：セキュリティニュースアラート

KDDIはISP向けメール基盤への不正アクセスを確認し、最大1422万件のメールアドレスとパスワードが漏えいした可能性が判明した。KDDIウェブコミュニケーションズ、ニフティ、BIGLOBEなどがパスワード変更を呼びかけ、調査と対応を続ける。

[ITmedia]

　KDDIは2026年6月23日、同社がISP事業者向けに提供するメールシステムへの不正アクセスを確認し、メールサービス利用者のメールアドレスとパスワードが外部へ漏えいした可能性があると発表した。対象はSTNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、BIGLOBEの6社が提供するメールサービスだ。

KDDIのISP向けメール基盤に不正アクセス、最大1422万件漏えいの可能性

　KDDIによると、不正アクセスは2026年6月17日に確認された。調査の結果、メールシステムで利用していた第三者製ソフトウェアの脆弱（ぜいじゃく）性が悪用されたことが原因と判明した。被疑箇所の特定後、同日中にシステム改修と技術的防御措置を実施した。影響範囲の特定は継続中で、個人情報保護委員会や総務省への報告・相談なども進めている。

　漏えいした可能性がある情報は、対象メールサービスのメールボックスにひも付くメールアドレスとパスワードで、最大1422万件に上る。解約済み利用者や長期間利用のない利用者分も含まれる。一部のパスワードにはハッシュ化または暗号化されたものも含まれる。

　KDDIは対象事業者へ順次連絡を実施し、対策導入に関する協議を進めている。利用者情報が第三者に取得された可能性を踏まえ、メールパスワードの変更を求めている。

　KDDIウェブコミュニケーションズは同日、レンタルサーバ「CPI」のメールサービス利用者のメールアドレスとパスワードが漏えいした可能性を公表した。原因はKDDI提供のメール基盤への不正アクセスであり、被害範囲は調査中としている。同社は利用者へ早期のパスワード変更を求めた。

　ニフティも「＠nifty」メール利用者のメールアドレスとメールパスワードが漏えいした可能性があると発表した。KDDI提供の基盤システムの脆弱性悪用による侵入と説明している。対象利用者には順次メールで案内を送付し、パスワード変更を要請する。変更が確認できないメールアドレスについては、2026年6月26日0時から既存パスワードを順次無効化するとした。外部専門機関や関係当局との連携の下で調査を続ける。

　BIGLOBEは、BIGLOBEメールアドレス（各種アドレス追加オプションを含む）、BIGLOBE IDおよびパスワードが漏えいした可能性を公表した。現状のパスワードを使用し続けた場合、個人情報の漏えいやサービスの不正利用につながる恐れがあるとして、利用者へ至急のパスワード変更を要請した。パスワードの使い回し回避や複雑な文字列の設定も呼びかけている。未変更利用者を対象としたパスワード強制リセットも予定している。

対象のISP事業者およびメールサービスの一覧（出典：KDDIのニュースリリース）

　各社の発表では、KDDIが提供するメール基盤において利用されていた第三者製ソフトウェアの脆弱性が悪用されたことが原因と説明された。KDDIおよび各事業者は調査を続けると同時に、利用者への周知とパスワード変更対応を進めている。