KDDIのメール1422万件漏えいか、@niftyやBIGLOBEも パスワード変更を
KDDIがプロバイダ各社へ提供するメールシステムが不正アクセスを受け、メールアドレスとパスワードが最大1422万件漏えいした可能性があります。@niftyやBIGLOBE、J:COM NET、ピカラ、コミュファ光など複数サービスが対象。自分が含まれるか、今すぐ何をすべきかを整理します。
堀川 慎
Backend Engineer / AWS / Django / Go
KDDIがプロバイダ各社へ提供するメールシステムが不正アクセスを受け、メールアドレスとパスワードが最大1422万件漏えいした可能性があります。@niftyやBIGLOBE、J:COM NET、ピカラ、コミュファ光など複数サービスが対象。自分が含まれるか、今すぐ何をすべきかを整理します。
KDDIは2026年6月23日、プロバイダ(インターネット接続事業者)各社へ提供しているメールシステムが不正アクセスを受け、メールアドレスとパスワードが最大1422万件、外部に漏れた可能性があると発表しました。対象には「@niftyメール」「BIGLOBEメール」「J:COM NET」など、私たちが日常的に使うメールサービスが幅広く含まれます。
注意したいのは、ここで名前が挙がっているのがKDDI(au)と直接契約している人だけではないという点です。契約先がニフティでもビッグローブでも、メールの裏側を動かしていたのは同じKDDIのシステムでした。だからこそ、ひとつの侵入が複数の会社のサービスに同時に波及しています。この記事では、何が起きたのか、自分のメールが対象に含まれるのか、そして今すぐ何をすればいいのかを順番に整理します。
| 何が起きたか | KDDIのメールシステムへの不正アクセス |
| 漏れた可能性のある情報 | メールアドレス+パスワード (最大1422万件) |
| 対象サービス | @nifty / BIGLOBE / J:COM NET ピカラ / コミュファ光 / CPI ほか |
| 検知日 | 2026年6月17日 |
| 公表日 | 2026年6月23日 |
| 原因 | 外部製ソフトの脆弱性の悪用 (対策は実施済みと説明) |
なぜ「自分はKDDIと契約していない」では済まないのか
今回いちばん見落とされやすいのが、ここです。多くの人は「@niftyと契約している」「BIGLOBEを使っている」という感覚でメールを使っていて、その裏側にKDDIがいるとは思っていません。ところが実際には、これらの会社のメール機能は、KDDIが一括して提供する共通のシステムの上で動いていました。表向きのブランドはバラバラでも、土台がひとつに集約されていたわけです。
この「見えない共通基盤」が、被害が一気に広がった理由です。土台がひとつなら、そこに空いた穴も全サービスに共通します。攻撃者から見れば、各社を個別に攻める必要はなく、KDDIのシステムを一度破れば、ぶら下がっている複数のメールサービスの利用者情報にまとめて手が届きます。最大1422万件という数字の大きさは、この構造から来ています。
便利さと裏表の関係でもあります。各プロバイダが自前でメールサーバーを抱えるより、信頼できる大手にまとめて任せたほうが、運用も品質も安定します。ただ、その「まとめて任せる」が進むほど、ひとつの事故が広い範囲に及ぶ。今回はその弱点が表に出た形です。自分の契約先のロゴしか見ていないと、こうしたリスクには気づけません。
影響を受けるメールサービスの一覧
KDDIの発表で名前が挙がっているサービスと、その運営会社を整理します。自分の使っているメールアドレスの末尾(ドメイン)と照らし合わせてみてください。下記のいずれかのサービスでメールアドレスを作っている場合は、対象に含まれる可能性があります。
| 運営会社 | 対象サービス | 主な利用者 |
|---|---|---|
| ニフティ | @niftyメール | @nifty会員 |
| ビッグローブ | BIGLOBEメール | BIGLOBE会員 |
| JCOM | J:COM NET ほか | ケーブルTV インターネット利用者 |
| STNet | ピカラ光 / ピカラモバイル | 四国エリア中心 |
| 中部テレコミュニケーション | コミュファ光 / ビジネスコミュファ | 中部エリア中心 |
| KDDIウェブ コミュニケーションズ | CPI(レンタルサーバー) | 法人・サイト運営者 |
対象は四国(ピカラ)から中部(コミュファ光)、全国の@nifty・BIGLOBE、さらに法人向けレンタルサーバーのCPIまで広がっています。各社別の漏えい件数の内訳は公表されておらず、「合わせて最大1422万件」という総数だけが示されています。自分のサービスが具体的に何件含まれるかは、現時点ではわかりません。各社が個別に出すお知らせの続報を確認するのが確実です。
漏れたのはメールアドレスだけではない
今回の発表でとくに重く受け止めるべきなのは、流出した可能性があるのがメールアドレスだけでなくパスワードも含む点です。メールアドレスだけなら、せいぜい迷惑メールが増える程度で済むこともあります。しかしパスワードがセットで漏れると、話が一段深刻になります。
こわいのは、メールの乗っ取りそのものよりも連鎖です。メールアドレスは、通販やSNS、ネット銀行など、あらゆるサービスのログインIDとして使い回されています。そこで問題になるのがパスワードの使い回しです。同じメールアドレスとパスワードの組み合わせを別のサービスでも使っていると、攻撃者はその組み合わせを次々に試して、芋づる式にアカウントを乗っ取れます。盗んだIDとパスワードのリストを自動で大量に試すこの手口は「リスト型攻撃(パスワードリスト攻撃)」と呼ばれ、漏えい事故のあとに必ずと言っていいほど続いて起きます。
さらに、メールを乗っ取られること自体が次の被害の入り口になります。多くのサービスは「パスワードを忘れた場合」の再設定をメールで行うため、メールボックスを押さえられると、そこに届く再設定リンクを使って他のアカウントまで突破される恐れがあります。メールは個人のネット生活の「合鍵置き場」のような存在で、そこが破られると影響が一点にとどまりません。だからこそ、後述する対応を急ぐ価値があります。
これまでの経緯
KDDIの発表によると、不正アクセスを把握したのは公表の6日前でした。検知から公表、当局への報告までの流れを時系列で示します。
← スワイプで移動
検知から公表まで6日間あいています。これは情報を隠していたというより、影響範囲の特定と当局報告の準備にかかった時間と見るのが自然です。一方で、利用者にとっては「自分のパスワードが漏れたかもしれない6日間」があったことになります。続報を待つあいだも、後述の対応は先に進めておいて損はありません。
なぜKDDIほどの会社が破られたのか
KDDIの説明では、侵入の入り口になったのは同社のシステムで使っていた外部製ソフト(サードパーティ製ソフトウェア)の脆弱性でした。脆弱性とは、プログラムに潜む設計や実装上の欠陥で、悪用されると本来できないはずの操作を許してしまう穴のことです。具体的にどのソフトのどの欠陥かは公表されていません。
ここに、もうひとつの見えにくい構造があります。大規模なシステムは、すべてを自社でゼロから作るわけではなく、既製のソフトや部品を組み合わせて成り立っています。つまり、自社のセキュリティをどれだけ固めても、組み込んだ外部部品に穴があれば、そこから破られる。利用者から見れば「KDDIに任せたメール」でも、その内側はさらに別の作り手のソフトに依存している。任せた相手が、さらに別の誰かに依存しているという二重の構造です。
この「外部の部品や委託先から破られる」パターンは、近年の大型事故に共通します。動画配信のCrunchyrollでは、自社ではなく外部委託先が侵入口になり680万人規模の情報が流出しました。国内でも、阿波銀行が放置されたテスト環境を突かれて2万7千件を漏らしたように、「本体ではない周辺」が穴になる例は後を絶ちません。守る側は全部品の安全を保ち続けなければならないのに、攻める側は穴をひとつ見つければいい。この非対称が、巨大企業でも破られる根本的な理由です。
いま利用者がやるべきこと
「漏れたかもしれない」段階でも、できる備えはあります。とくにパスワードが対象に含まれている以上、対象サービスのメールパスワードを変更し、同じパスワードを使い回している他のサービスも併せて変えるのが最優先です。順番に説明します。
① 対象サービスのメールパスワードを変える。 上の一覧に自分のメールサービスがあれば、まずそのパスワードを変更します。各社のサポートから手続きできます(BIGLOBE、@nifty など)。新しいパスワードは、他で使っていない独自のものにします。
② 使い回している他サービスも変える。 いちばん危険なのは、同じパスワードを通販やSNS、ネット銀行でも使っているケースです。漏れた組み合わせを試されると、そちらまで芋づる式に破られます。心当たりがあれば、それらも別々のパスワードに変えてください。
③ 二段階認証を有効にする。 パスワードに加えて、スマホに届く確認コードなどを必要にする設定です。仮にパスワードが漏れても、これがあれば不正ログインを大きく防げます。対応しているサービスでは必ずオンにしておきます。
④ 「便乗」のニセメールに警戒する。 こうした事故のあとは、不安につけ込む偽メールが増えます。「情報漏えいのお詫び」「パスワードを今すぐ確認」といった文面でニセのログイン画面へ誘導する手口です。メール内のリンクは踏まず、各社の公式サイトを自分でブックマークから開いて手続きするのが安全です。身に覚えのないログイン通知が来ていないかも確認しておきましょう。
なお、KDDIや各社は被害状況の調査を続けており、対象者への個別連絡やパスワード強制リセットなどの追加対応が出る可能性があります。最終的な対象範囲や件数の内訳は今後の続報で更新される見込みです。
わかっていること・まだわからないこと
✓ 確認済みの事実
- ✓KDDIがISP事業者へ提供するメールシステムが不正アクセスを受けた(ITmedia)
- ✓メールアドレスとパスワードが最大1422万件、漏えいした可能性がある(Yahoo!ニュース)
- ✓対象は@nifty・BIGLOBE・J:COM NET・ピカラ・コミュファ光・CPIなど複数サービス
- ✓6月17日に検知、6月23日に公表。外部製ソフトの脆弱性が悪用され、技術的対策は実施済みと説明(共同通信)
? まだ公表されていないこと
- ?情報が実際に外部へ持ち出され、悪用されたかどうか ― 現時点は「漏れた可能性」の段階
- ?悪用された外部製ソフトの名称と、脆弱性の詳細 ― 非公表
- ?各サービス別の漏えい件数の内訳 ― 「合計最大1422万件」のみ公表
- ?パスワードが暗号化された状態だったか、平文に近い状態だったか ― 公表情報からは不明
よくある質問
Q. auのスマホしか使っていません。関係ありますか?
今回対象に挙がっているのは、@niftyやBIGLOBEなど「プロバイダ各社のメールサービス」です。auの携帯電話契約そのものや、auのメール(@au.com / @ezweb.ne.jp)が対象だとは発表されていません。ただし、別途これらのプロバイダでメールアドレスを作っている場合は対象になり得ます。最終的な範囲は各社の続報で確認してください。
Q. パスワードを変えれば、もう安心ですか?
対象サービスのパスワード変更は最優先ですが、それだけでは不十分なことがあります。同じパスワードを他サービスで使い回している場合は、そちらも変える必要があります。二段階認証の設定と、便乗した偽メールへの警戒もあわせて行ってください。
Q. KDDIから連絡は来ますか?
KDDIは個人情報保護委員会と総務省への報告を進めており、各サービス運営会社から利用者への案内が出る可能性があります。ただし、その案内を装った偽メールも出回りやすいため、メール内のリンクは踏まず、公式サイトを自分で開いて確認するのが安全です。
Q. なぜこんなに多くのサービスが一度に影響を受けたのですか?
各社のメール機能が、KDDIの共通システムの上で動いていたためです。土台がひとつに集約されていたため、そこへの一度の侵入が、ぶら下がる複数サービスへ同時に波及しました。