自分のプロバイダメールを「もう使っていないから関係ない」と思っていた人も、一度確認が必要かもしれません。

KDDIは2026年6月23日、同社が提供するISP事業者向けメールシステムへの不正アクセスを公式発表しました。不正アクセスの確認は6月17日で、KDDIは同日中にシステム改修と技術的防御措置を実施済みと説明しています。第三者製ソフトウェアの脆弱性が悪用されたもので、最大1,422万件のメールアドレスとパスワードが外部に漏洩した可能性があります。

🔍 「auメール」の話ではない、ISP基盤全体の問題

今回の不正アクセスは、KDDIが個人向けに提供する「auメール(@ezweb.ne.jp / @au.com)」とは別のシステムの話です。

KDDIはISP(インターネットサービスプロバイダ)事業者に対し、メールシステムの基盤を提供しています。その共通基盤に対して今回の攻撃が行われました。つまり、影響を受けるのはKDDI自身の顧客だけでなく、この基盤を利用している各ISPのユーザーです。

漏洩したとされる情報は「メールアドレス」と「パスワード」の組み合わせです。PC WatchやケータイWatchの報道によると、パスワードの一部にはハッシュ化・暗号化されたものが含まれるとされていますが、各ISPからの公式確認は執筆時点でなされていません。KDDIはパスワード変更を求めており、ハッシュ化されているから安全と受け取らない方がいいでしょう。

📋 どのISPが対象か

今回の対象となったISPとサービス名は以下のとおりです。

  • STNet(Pikara)
  • KDDIウェブコミュニケーションズ(CPI)
  • JCOM(J:COM NET / ケーブルテレビインターネット)
  • 中部テレコミュニケーション(Commuf@ / ビジネスCommuf@)
  • ニフティ(@nifty)
  • ビッグローブ(BIGLOBE)

対象ISPと確認すべきアカウントの整理図

これだけの範囲のISPが対象になるとは、正直なところ想定外でした。四国・中国地方の地域系(STNet)、東海エリアのケーブルTV系(JCOMや中部テレコミュニケーション)から全国展開のBIGLOBEや@niftyまで、一つのKDDI共通基盤でつながっていたとは思っていなかったからです。「自分には関係ない」と言い切れるユーザーの範囲はかなり限られます。

漏洩件数の内訳は、現在有効なアカウントだけでなく、解約済み・休眠状態のアカウントも含まれているとされています。「昔使っていた@niftyのアドレス」なども対象になり得るため、過去にこれらISPを利用していた人も注意が必要です。

⚠️ パスワード使い回しが危険な理由

メールアドレスとパスワードの組み合わせが漏洩した場合に特に問題となるのが、パスワードの使い回しです。

同じパスワードを複数のサービスで使っている場合、今回のメールアカウント以外のサービス(ECサイト、金融機関、SNSなど)にも不正ログインを試みられる「リスト型攻撃(クレデンシャルスタッフィング)」の標的になります。

対応の順番としては、現在も使っているアカウントのパスワードを直ちに変更するのが最優先です。

解約済み・休眠状態のアカウントは、同じパスワードを他サービスで使っていないかを確認します。使い回しがあれば、そちらも変更が必要です。

この機会にパスワードマネージャーの導入を考えるのも現実的な選択肢です。

🚨 偽メールへの注意と公式確認の流れ

こうした情報漏洩が発生すると、便乗したフィッシングメールが出回ることがほぼ確実に起こります。「パスワードを変更してください」などと促すメールが届いても、リンクではなく各ISP公式サイトへ直接アクセスして確認する方法が安全です。

公式の確認・変更手続きは、各ISPの公式サイトまたは公式アプリから直接アクセスして行うことが原則です。KDDIおよび各ISPは、公式チャネルを通じて順次ユーザーへの案内を実施しています。

自分がどのISPのメールを現在・過去に利用しているか把握できていない場合は、契約書やサービス登録メールに記録が残っていることがあります。

出典

  • KDDI株式会社「弊社ISP事業者向けメールシステムへの不正アクセスについて」(2026年6月23日)PDF
  • ケータイ Watch「KDDI基盤に不正アクセス、ニフティやビッグローブなど最大1422万件のメール・パスワード漏洩の可能性」(2026年6月23日)https://k-tai.watch.impress.co.jp/docs/news/2119354.html
  • PC Watch「KDDI、ISPメールシステムに不正アクセス、最大1,422万件漏洩か。BIGLOBE、niftyなど影響」(2026年6月23日)https://pc.watch.impress.co.jp/docs/news/2119390.html