KDDI がメール・システム侵害を公表:最大 1,422 万人の認証情報が流出した可能性

Data breach exposes up to 14.2 million email logins at six ISPs

2026/06/28 BleepingComputer — 日本の通信事業者である KDDI Corporation は、国内の ISP 5 社が利用するメール・システムで発生した、不正アクセスによるデータ侵害について公表した。この侵害は 6月17日に発見されたが、直ちに攻撃を遮断し防御措置を実施したと、KDDI は述べている。

調査の結果、KDDI がシステムで使用していたサードパーティ製ソフトウェアの脆弱性を、ハッカーが悪用していたことが判明した。KDDI は、「当該システムに対して技術的な防御措置を実装したが、このインシデントの結果として、顧客のメール・アドレスおよびパスワードが悪意の第三者に取得された可能性がある」と警告している。

情報流出の規模

KDDI は、日本最大級の ISP の 1 つであり、約 45,000 人の従業員数と、$32.4 billion の年間売上を誇る上場企業である。同社は、かつて日本政府の国際通信事業者であった KDD と、IDO および DDI の合併により設立され、2000年から事業を展開している。

KDDI によると、このインシデントにより、以下の 5 社の ISP とメール・サービスに影響が生じている。

  • STNet, Inc.
  • JCOM Co., Ltd.
  • Chubu Telecommunications Co, Inc.
  • NIFTY Corporation
  • BIGLOBE Inc.

このインシデントに関する調査は、現在も継続している。現時点で、影響を受けたアカウント数は確定していないが、最大で 1,422 万人分のメール・アドレスおよびパスワードが流出した可能性があると、KDDI は明らかにしている。この件数には、現在および過去の顧客に加え、すでに使用されていない可能性のある休止アカウントも含まれている。

一部のパスワードはハッシュ化および/または暗号化された形式で保存されているため、流出した場合でも容易にアカウント乗っ取りに悪用されるものではないと、KDDI は指摘している。その一方で、使用されていた暗号化方式や、パスワードが平文で保存されていたアカウントの割合については明らかにされていない。

KDDI は、6月17日から影響を受けた ISP 各社へ連絡し、日本の個人情報保護委員会および総務省にも通知している。現在は影響を受けた ISP と連携して、この情報流出に起因するリスクを軽減するための追加のセキュリティ対策を実施している。

情報流出の影響を受けた可能性のある顧客に対しては、可能な限り早急にメール・アカウントのパスワードをリセットすることが推奨されている。また、二要素認証 (2FA) を利用できる場合には、追加の保護策として設定することも推奨されている。