KDDIがインターネット接続サービス事業者向けに提供していたメール基盤で不正アクセスが確認され、複数社のメールサービス利用者に影響する可能性が出ている。報道では、メールアドレスやパスワードなどが最大1422万件規模で漏えいした可能性があるとされる。
ここで重要なのは、KDDIの携帯電話やauの利用者だけに限った話ではない点だ。契約先はJ:COM、コミュファ光、レンタルサーバー「CPI」などでも、メールサービスの裏側でKDDI提供の基盤が使われていた場合、影響を受ける可能性がある。
また、「最大1422万件」は現時点で示された上限として読む必要がある。実際に外部へ流出した件数、悪用の有無、会社ごとの対象範囲は、発表や調査の粒度に差がある。数字の大きさだけでなく、自分や家族、仕事用のメールが対象に含まれるかを確認することが焦点になる。
KDDIと直接契約していなくても関係する可能性がある
今回問題になっているのは、利用者が直接目にするサービス名ではなく、その裏側で動くメールシステムだ。インターネット回線やケーブルテレビ、レンタルサーバーに付属するメールは、利用者から見ると各社のサービスに見える。一方で、基盤部分を別会社が提供している場合がある。
そのため、「KDDIと契約していないから無関係」とは言い切れない。報道では、STNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブの6社が対象として挙げられている。ただし、STNet、ニフティ、ビッグローブについては、ここでは報道上の対象企業として扱い、具体的な対象サービスや影響範囲までは断定しない。
メールアドレスは、普段の連絡に使っていなくても、通販、金融、SNS、クラウドサービスなどのログインIDやパスワード再設定先として残っていることがある。氏名や住所が含まれていないとされる場合でも、メールアドレスとパスワードなどの組み合わせは、不正ログインやなりすましの入口になり得る。
対象6社でも確認できる情報には差がある
確認できた各社発表を見ると、影響の出方や説明には違いがある。
JCOM株式会社は、2026年6月18日にKDDIからの報告で事案を把握したとしている。J:COM NET利用者の一部や、ケーブルテレビ事業者向けメールサービス利用者の一部で、メール関連情報が漏えいした可能性があるという。対象者には順次個別に連絡するとしている。
株式会社KDDIウェブコミュニケーションズは、レンタルサーバー「CPI」のメールサービス利用者について、メールアドレスおよびパスワードが漏えいした可能性を発表している。同社は、KDDIのメールシステムで使われていた第三者製ソフトウェアの脆弱性、つまりソフトウェア上の弱点を悪用されたものと説明している。
中部テレコミュニケーション株式会社は、コミュファ光とビジネスコミュファのメールサービス利用者について、メールアドレスおよびメールパスワードが漏えいした可能性を明らかにしている。同社は発表時点で、悪用は確認されていないとしている。
一方、6社すべてについて同じ粒度の公式情報が確認できているわけではない。各社別の対象件数、対象サービス、通知方法、パスワードの保存状態は、続報で確認する論点として残る。
「最大1422万件」は確定した流出件数ではない
最大1422万件という数字は大きい。ただし、この数字は「実際に外部へ持ち出された件数」や「悪用された件数」と同じ意味ではない。現時点では、漏えいした可能性がある範囲を示す上限として扱うのが妥当だ。
不正アクセスの発表では、初期段階で影響を受けた可能性のある範囲を広めに示し、その後のログ解析や対象データの確認で実数を絞り込むことがある。今回も、実際の漏えい件数、攻撃者がアクセスできた期間、各社別の対象範囲は、まだ確認材料がそろっていない。
情報項目の表現にも差がある。会社によって「パスワード」「パスワードハッシュ」「メール関連情報」といった記載が使われている。パスワードハッシュは、元のパスワードをそのまま読めない形に変換したデータを指すが、保存方式や強度によってリスクは変わる。今回の事案で、平文のパスワードとハッシュ化された情報の内訳までは確認できていない。
メールパスワードの漏えいは、メールだけで終わらない
メールアドレスとパスワードなどが不正取得された場合、まず考えられるのはメールボックスへの不正ログインだ。メール本文を読まれるだけでなく、本人になりすました送信、迷惑メール、フィッシングへの悪用にもつながり得る。
さらに注意したいのは、メールアカウントが他サービスの鍵になっていることだ。多くのサービスでは、パスワードを忘れた際に登録メールアドレスへ再設定リンクを送る。メールアカウントを第三者に使われると、別のサービスの乗っ取りに広がるおそれがある。
見落とされやすいのは、古いISPメールだ。普段はGmailや勤務先メールを使っていても、過去に契約した回線のメールアドレスが会員登録に残っていることがある。家族名義のインターネット回線、小規模事業者の問い合わせ先、店舗の連絡用メールも確認対象になり得る。
確認したいことは大きく3つある。
- 自分や家族が、報道で対象として挙げられた事業者のメールサービスを使っていないか
- 該当するメールアドレスのパスワードを、他サービスでも使い回していないか
- そのメールアドレスが、金融、通販、SNS、仕事用サービスの再設定先になっていないか
パスワード変更は出発点にすぎない。メールソフト用のパスワードと会員ページ用のログインパスワードが別に設定されているサービスもあるため、各社の公式案内に沿って確認したい。
契約先と裏側のシステムが違うと、影響範囲が見えにくい
今回の事案は、通信サービスの裏側にある共通基盤の分かりにくさも浮かび上がらせた。利用者はJ:COM、コミュファ光、CPIなどのサービス名でメールを使っていても、システムの一部は別会社が提供している場合がある。
共通基盤は、事業者にとって運用や機能提供の面で利点がある。一方で、基盤側への攻撃や脆弱性の悪用が起きると、複数ブランドの利用者案内につながる。今回、一部の公式発表では第三者製ソフトウェアの脆弱性悪用が説明されており、提供元や委託先を含めた管理体制の説明は今後の確認点になる。
企業側に求められるのは、対象者への連絡だけではない。どのサービスが対象か、どのパスワードを変更すべきか、悪用が確認されているのか、追加情報はどこで更新されるのか。利用者が迷わず確認できる形で示されるかが、被害拡大を抑えるうえで重要になる。
いま確認したいのは件数より「自分のメールの使われ方」
このニュースは、最大1422万件という数字だけで読むと、実態より大きくも小さくも見誤る。大切なのは、確定していることと、まだ決まっていないことを分けることだ。
現時点で確認したいのは、対象になり得るメールサービスを使っているか、同じパスワードを他でも使っていないか、そのメールが他サービスの再設定先になっていないかである。特に、古いメールアドレスや家族契約のメールは、本人が通知に気づきにくい。
続報で確認する材料は、実際に外部へ漏えいした件数、各社別の対象範囲、パスワードの保存状態、悪用被害の有無、脆弱性の詳細、対象者への通知状況だ。今回の事案は、メールアドレスを「昔の契約に付いていたもの」として放置してよいかを見直すきっかけにもなる。
出典・参考
主な参照資料
- JCOM株式会社「KDDI株式会社が提供するメールサービスにおけるお客さま情報漏えいのおそれについて」 https://newsreleases.jcom.co.jp/news/20260623_21351.html
- 株式会社KDDIウェブコミュニケーションズ「KDDI株式会社が提供するメールシステムにおける不正アクセスについて」 https://www.kddi-webcommunications.co.jp/news/emergency/20260623a.html
- 中部テレコミュニケーション株式会社「KDDI株式会社が提供するメールシステムにおける不正アクセスについて」 https://www.ctc.co.jp/news/2026/20260623/
- ニューズウィーク日本版 / Reuters「KDDI、メールシステムに不正アクセス 最大1422万件漏えいの可能性」 https://www.newsweekjapan.jp/articles/-/326365
