KDDIのISP向けメールシステムに不正アクセス 最大約1223万人分の情報漏えい

2026/07/07
更新: 2026/07/07

KDDIは7月6日、同社がインターネットサービスプロバイダー(ISP)向けに提供しているメールシステムへの不正アクセスに関し、大規模な情報漏えいの事実を確認したと発表した。

KDDIが公表した資料によると、漏えいが確認されたのは、同システムで作成された電子メールアドレスが対象人数1223万3087人分、システムのパスワードが761万6173人分である。対象となったISP事業者および関連する電子メールサービスはニフティ株式会社の@nifty メールやビッグローブ株式会社のBIGLOBE メールなど6社のサービスとなっている。

利用者の「メールアドレス」と「パスワード」はこれら6社が提供するメールサービスにて作成されたメールボックスに紐づいており、解約済みの利用者や、一定期間利用のない休眠アカウントも含まれている。現在、KDDIはこれらISP事業者と連携し、対象ユーザーのデータを保護するための早急なパスワード変更を呼びかけている。

一方、KDDIが自社で提供する「auメール」「UQ mobileメール」「au one netメール」など、モバイルおよび固定インターネット向けのメールサービスは異なる設備で構築されているため、本件による影響や情報漏えいはないとしている。

不正アクセスは、一部のISP事業者で5月16日から発生していた。原因は、システムの一部として導入されていた第三者製ソフトウェアの脆弱性が悪用されたことによるものだという。この脆弱性は、KDDIが不正アクセスを検知した6月17日時点では、ソフトウェアベンダー側も認識していない脆弱性だった。

総務省は、24日、電気通信事業法第166条第1項に基づく報告徴収を行った。発生原因や影響範囲、利用者への対応状況、再発防止策などについて、7月6日を提出期限としてKDDIに報告書の提出を求めた。KDDIは同日、報告書を提出した。

KDDIは被害拡大を防ぐため、不正アクセスを確認した6月17日にシステムの改修と脆弱性への対処を実施した。

さらに、6月21日には外部通信を制御する全サーバーにEDR(Endpoint Detection and Response)を導入し、6月23日には第三者機関によるフォレンジック調査を通じて、他の不審な痕跡が存在しないことを確認した。

利用者保護の対応として、KDDIはISP事業者と連携し、対象顧客のパスワード変更を進めている。一両日中をめどに、パスワードの強制変更を完了させる予定である。

今後の再発防止策として、KDDIはAIなどを活用し、ソフトウェアの設計書およびプログラムの網羅的な分析を行う。また、ISP事業者と連携し、よりセキュリティ強度の高い通信規格への移行を早期に進める方針である。

見出しをより硬い通信社調にするなら、「KDDI、ISP向けメールシステムで情報漏えい 最大約1223万人に影響」も使える。

エポックタイムズの記者。東京を拠点に活動。政治、経済、社会を担当。他メディアが報道しない重要な情報を伝えます