ニュース
KDDI、ISP向けメールシステムへの不正アクセスで続報。1223万件のメールアドレス、762万件のパスワードが漏えい
ビッグローブ、ニフティ、JCOM、ctc、STNet、KDDIウェブコミュニケーションズも続報発表
2026年7月6日 16:28
KDDI株式会社は7月6日、ISP事業者向けメールシステムに対する不正アクセスに関する続報を発表した。
本件は、6月23日に第一報が発表されていたもの。今回の発表によると、同社がシステムの一部として導入していた第三者製のソフトウェアを悪用されたことが原因で、一部のISPのメールサービスにおいて、おいて、2026年5月16日から発生していた(同社が認識したのは6月17日)。
6月17日に、同社は被害拡大を防止するためシステムを改修して脆弱性に対処したが、この脆弱性は、この日の時点ではソフトウェアベンダーが発表していない脆弱性だったという(現在は届け出を行っている)。
6月23日時点では6事業者のメールサービスにおいて、最大1422万件の情報が漏えいした可能性があるとしていたが、今回の発表では、1223万3087件のメールアドレスが漏えいしたことが確認され、このうち761万6173件についてはパスワードの漏えいも確認されたとしている。
当該ISPの発表情報
被害が発生した6事業者でも、それぞれ情報を発表している。
ビッグローブ(BIGLOBEメール)では、メールアドレス501万6432件、パスワード463万1775件が漏えいしたと発表した。第一報以降、ユーザーにパスワードの変更を呼び掛けているが、パスワードの強制リセットを一両日中に完了見込みだとしている。リセット直後は手続きサイトが混み合う可能性があるため、直近でBIGLOBEメールを利用する予定がないユーザーは、日にちを置いてパスワードの再設定をしてほしいと呼び掛けている。
ニフティ(@niftyメール)では、メールアドレス224万8708件、パスワード186万2462件が漏えいしたと発表した。第一報以降、ユーザーにパスワードの変更を呼び掛けているが、変更が確認できないユーザーに対しては6月26日から順次パスワードの無効化を行っており、一両日中に完了見込みだとしている。
JCOMでは、「J:COM NET」で247万3191件のメールアドレス、ケーブルテレビ事業者向けメールサービスで11万9885件のメールアドレスと1257件のパスワードが漏えいしたと発表した。J:COM NETではパスワードリセットは行わず、パスワードが漏えいした対象者に対しては、パスワードリセットが完了したとしている。
中部テレコミュニケーション(ctc)では、「コミュファ光・ビジネスコミュファ」のメールサービスで72万7176件のメールアドレス、72万4344件のパスワードが漏えいしたと発表した。メールアドレスのパスワードの強制変更を実施しており、一両日中に完了の見込みだとしている。
STNetでは、「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」において、39万7152人の利用者の、メールアドレスとパスワード45万6159件が漏えいしたと発表した。対象者にはパスワード変更の案内をしているが、変更していない対象者に対しては、パスワードを強制変更し、一両日中を目途に完了見込みだとしている。
KDDIウェブコミュニケーションズでは、レンタルサーバー「CPI」のメールサービスにおいて125万543件のメールアドレスが漏えいしたと発表した。パスワードの漏えいは確認されていないが、発表後にパスワードを変更していないユーザーに対して、パスワードの強制変更を予告している。
