ニュース
KDDIのメール不正アクセス、パスワード漏洩は761万件
2026年7月6日 18:05
KDDIは6日、ISP事業者向けに提供するメールシステムへの不正アクセスについて、漏えいが確認された情報や人数、原因、対応状況を公表した。電子メールアドレスは1,223万3,087人分、パスワードは761万6,173人分の漏えいを確認。パスワード漏えい人数は、メールアドレス漏えい人数の内数となる。
本システムは、KDDIが開発したISP事業者向けのメール基盤。メールアカウントの管理、メール送受信、Webメール、メールデータの保存などを一体的に提供している。
今回の不正アクセスは、同システムの一部として導入していた第三者製ソフトウェアの脆弱性を悪用されたもの。一部のISP事業者で5月16日から発生しており、KDDIは6月17日に不正アクセスを確認した。同日、被害拡大を防ぐためシステムを改修し、同脆弱性への対処を実施した。
同脆弱性は、KDDIが確認した6月17日時点でソフトウェアベンダーが認識していない脆弱性だった。同ベンダーは、公的機関への届け出を行ない、情報公開に向けた取り組みを進めている。
KDDIは6月24日、総務省から電気通信事業法第166条第1項に基づく報告を求められており、7月6日に報告書を提出した。再発防止策として、前述のシステム改修を実施し、6月21日に外部通信を制御する全サーバーへのEDR導入を完了。6月23日には第三者機関によるフォレンジック調査を通じ、同脆弱性以外の不審な痕跡がないことを確認した。
影響を受けたISP事業者のひとつであるニフティでは、「@nifty」メールサービスについてKDDIと調査を行なった結果、電子メールアドレス224万8,708人分、メールパスワード186万2,462人分の漏えいを確認した。メールパスワードの漏えい件数は、電子メールアドレスの漏えい件数に含まれる。
ニフティでは、6月26日よりパスワードの変更が確認できないメールアドレスを対象に、順次パスワードの無効化を実施している。同措置は一両日中に完了する見込み。
ビッグローブでは、BIGLOBEメールアドレス、BIGLOBE IDの漏えいの対象人数が501万6,432人、パスワード漏えいは463万1,775人としている。J:COMはメールアドレスの漏洩が247万3,191名。
そのほか、中部テレコミュニケーション、STNet、KDDI ウェブコミュニケーションズ、J:COMでも漏えいに関する対応状況や漏えい件数を公表している。
なお、KDDIのauメール、UQ mobileメール、au one netメールは異なる設備で構築されているため、本件による影響や情報漏えいはない。

