2026年6月23日、KDDI株式会社は同社がインターネットサービスプロバイダー(ISP)事業者向けに提供しているメールシステムにおいて、第三者からの不正アクセスを受け、最大約1,422万件のメールアドレスおよびパスワードが外部に漏洩した可能性があると発表しました。
対象には現在利用中のアカウントだけでなく、すでに解約された休眠アカウントも含まれており、影響範囲は広範囲に及びます。本記事では、今回の個人情報漏洩の具体的な内容リストと、対象サービスを利用している(または過去に利用していた)ユーザーが被害を最小限に抑えるために今すぐ行うべきセキュリティ対策について詳しく解説します。
⚠️ 重要なポイント:au・UQ mobileユーザーへの影響は?
KDDIが直接自社で運営・提供している「au(@ezweb.ne.jp / @au.com)」や「UQ mobile」のメールサービスは、今回の被害に遭ったシステムとは別の基盤で管理されているため、**影響はありません。**今回影響を受けたのは、KDDIのシステム基盤を利用している提携ISP(プロバイダー)6社となります。
1. KDDI情報漏洩の概要・内容リスト
今回の不正アクセス事案における、漏洩対象、原因、および影響を受けている事業者の一覧は以下の通りです。
| 項目 | 内容 |
| 発表日 | 2026年6月23日(不正アクセスの確認は6月17日) |
| 原因 | メールシステムで利用していた「第三者製(サードパーティ製)ソフトウェア」の脆弱性を悪用されたことによるもの |
| 漏洩の可能性がある情報 | ・メールアドレス ・メールボックスのパスワード (※解約済み・長期未利用の休眠アカウントを含む) (※パスワードにはハッシュ化・暗号化されたものも含まれるが、調査継続中のため最大値で公表) |
| 対象件数 | 最大 1,422万件 |
| 現在の状況 | 6月17日当日にシステムの改修および技術的な防御措置は実施済み。現在は詳細な影響範囲の特定に向けて調査継続中。 |
影響を受けている対象ISP事業者(6社)
以下のプロバイダーが提供するメールサービス(またはインターネット接続・レンタルサーバーに付随するメールサービス)を利用している、あるいは過去に契約していた方が対象となります。
- ニフティ株式会社(@niftyメール)
- ビッグローブ株式会社(BIGLOBEメール ※BIGLOBE IDも対象の可能性あり)
- JCOM株式会社(J:COM NET、およびケーブルテレビ事業者向けメールサービス)
- 中部テレコミュニケーション株式会社(コミュファ光、ビジネスコミュファ)
- 株式会社STNet(ピカラ光、ピカラモバイル、お仕事ピカラ)
- 株式会社KDDIウェブコミュニケーションズ(レンタルサーバーCPIのメールサービス)
2. 想定される二次被害のリスク
今回の情報漏洩で最も懸念されるのは、漏洩した「メールアドレスとパスワード」のセットを悪用した二次被害(サイバー攻撃)です。具体的には以下のリスクが挙げられます。
① クレデンシャルスタッフィング(アカウントリスト攻撃)
攻撃者が、漏洩したメールアドレスとパスワードの組み合わせを使い、他の主要なWebサイト(ネット銀行、Amazonや楽天などのECサイト、SNS、Apple ID、Googleアカウントなど)への不正ログインを試みる攻撃です。もし同じパスワードを他サービスでも使い回している場合、連鎖的にアカウントが乗っ取られる危険性があります。
② 便乗フィッシング詐欺メールの横行
「KDDIの情報漏洩に伴うアカウント確認」「パスワード緊急変更のお願い」など、今回の件を騙った偽のフィッシングメールが大量に送信されることが想定されます。メール内のリンクから偽のログインサイトへ誘導し、さらにクレジットカード情報や重要な個人情報を盗み取ろうとする手口に注意が必要です。
3. ユーザーが「今すぐ」取るべき5つのセキュリティ対策
対象のプロバイダーに心当たりがある、または過去に利用した記憶がある方は、被害を未然に防ぐため以下の対策を速やかに実施してください。
対策①:対象メールサービスのパスワードを即座に変更する
該当するISP(ニフティ、BIGLOBE等)のメールパスワードを、これまでとは全く異なる、推測されにくい強力なパスワード(英大文字・小文字・数字・記号を組み合わせたもの)に変更してください。
※ニフティなど一部の事業者は、期日までに変更がない場合、安全のため順次パスワードを強制無効化すると告知しています。
対策②:同じパスワードを使い回している他サイトのパスワードも変更する
漏洩したメールパスワードと「同じもの」または「似たようなもの」を、ネットバンキング、ECサイト、SNSなどで使い回している場合は、それらのサービス側のパスワードもすべて変更してください。これが二次被害を防ぐ最大の防壁となります。
対策③:各種サービスで「多要素認証(MFA)」を有効にする
ログイン時にパスワードだけでなく、スマホへのSMSコードや認証アプリによる確認を求める「多要素認証(二段階認証)」を設定できるサービスでは、必ず有効にしてください。万が一パスワードが漏洩しても、第三者による不正ログインを強力に阻止できます。
対策④:過去の「休眠アカウント」や「解約済みサービス」を確認する
「今はもう使っていないから関係ない」と思わず、過去に対象プロバイダーを契約していた場合は注意が必要です。解約後もデータが残っていたケースがあるため、他サービスで当時のパスワードを使い続けていないか必ず確認してください。
対策⑤:案内は必ず「公式サイトのブックマークや検索」から確認する
今後、パスワード変更を促すメールが届くことが増えますが、メール内のリンクは絶対にクリックしないでください。本物の案内であるか見分けるためにも、必ずブラウザで検索するか、事前に登録してある公式サイトのブックマーク経由でマイページ等にアクセスして手続きを行ってください。
4. まとめ
今回のKDDIの事案は、メールインフラというインターネットの根幹部分が狙われた大規模な脆弱性悪用攻撃です。すでにKDDI側でのシステム改修は完了していますが、流出してしまった可能性のあるアカウント情報の悪用を防げるのはユーザー自身の行動のみです。
「パスワードの使い回しを止める」「多要素認証を設定する」という基本かつ強力な対策をこの機会に徹底し、大切な個人情報とアカウントを守りましょう。
この記事の監修者
金井 弘一朗(かない こういちろう)
株式会社ケイ・ブリッジ 代表取締役 /パソコン博士の知恵袋編集長
大学在学時代に研究室から経済産業省に提供していたプログラムでリサーチを行う。
卒業後は大手調査会社にてリサーチ・レポート・格付け業務に従事し、ITベンチャーやシステム会社を数社担当。全国優秀調査員表彰を受ける。同社退社後、ITシステム会社にて執行役員を務めながら、関西学院大学の客員研究員として教員を歴任。
現在は、株式会社ケイ・ブリッジの代表取締役として業界特化型のDXメディア事業(主要5メディア)にて企画・リサーチを担当。累計2000万人近くのパソコントラブルに向き合う情報を発信している。
監修者からのワンポイントアドバイス
今回のKDDIの事案のように、大手インフラ企業の提供するシステム基盤が狙われた場合、自分自身に落ち度がなくても個人情報が流出してしまうリスクがあります。特に今回は「過去の休眠アカウントや解約済みサービス」まで対象に含まれている点が非常に厄介です。
様々なパソコントラブルと向き合ってきた私から強くお伝えしたいのは、
「アカウントの整理」と「パスワードの分散管理」は現代の必須スキル
であるということです。「もう使っていないから大丈夫」と放置している過去のサービスはありませんか? 攻撃者はそうした管理の甘い休眠アカウントを同一パスワードを使い回している別の重要サイト(ネット銀行や主要ECサイトなど)への不正ログインを狙ってきます。
流出そのものを個人が防ぐことは困難ですが、
「他サイトと同じパスワードを使い回さない」
「二段階認証(多要素認証)を徹底する」
という2点だけで、被害の連鎖(二次被害)はほぼ100%防ぐことができます。この記事を機に、ご自身のネット環境の安全点検をぜひ実施してください。
コメントを残す