KDDIが、ISP事業者向けに提供するメールシステムへの不正アクセスを発表しました。対象となるメールサービスでは、メールボックスに紐づくメールアドレスとパスワードが、最大1,422万件漏えいした可能性があるとされています。
対象に含まれる可能性があるのは、BIGLOBEメール、J:COM NET関連メール、@niftyメール、コミュファ光関連メール、ピカラ光関連メール、レンタルサーバーCPIのメールサービスなどです。
結論から言うと、対象サービスを利用している場合は、まず各ISP事業者の公式案内を確認し、メールパスワードを早めに変更してください。 その際、メール本文のリンクからではなく、ブックマークや検索、公式アプリ、公式サイトの会員ページから手続きすることが重要です。
今回の不正アクセスで確認されていること
KDDIの発表によると、同社がISP事業者向けに提供するメールシステムで、2026年6月17日に不正アクセスを確認しました。KDDIは同日、被害拡大を防止するためにシステムを改修し、不正アクセスの被疑箇所を特定して技術的な防御措置を実施したと説明しています。
不正アクセスは、メールシステムで利用していた第三者製ソフトウェアの脆弱性を悪用されたものとされています。ただし、この記事では脆弱性の詳細、攻撃手順、悪用方法、再現手順は扱いません。利用者として重要なのは、自分のメールサービスが対象かどうか、パスワード変更が必要か、同じパスワードを他のサービスで使い回していないかを確認することです。
対象となるメールサービス
KDDIの発表では、対象のISP事業者とメールサービスとして、以下が挙げられています。
| 事業者 | 対象メールサービス | 確認したいこと |
|---|---|---|
| STNet | ピカラ光サービス、ピカラモバイルサービス、お仕事ピカラサービスに係るメールサービス | ピカラ関連のメールアドレスを使っていないか確認 |
| KDDIウェブコミュニケーションズ | レンタルサーバーCPIのメールサービス | CPIで作成したメールアドレスを使っていないか確認 |
| JCOM | J:COM NET、ケーブルテレビ事業者向けメールサービス | J:COM関連のメールアドレスを使っていないか確認 |
| 中部テレコミュニケーション | コミュファ光、ビジネスコミュファのメールサービス | コミュファ関連のメールアドレスを使っていないか確認 |
| ニフティ | @niftyメール | @niftyのメールアドレスを使っていないか確認 |
| ビッグローブ | BIGLOBEメール | BIGLOBEメールを使っていないか確認 |
対象は、現在利用中のアカウントだけとは限りません。KDDIの発表では、解約済みの利用者や、一定期間利用のない休眠アカウントも含まれるとされています。以前使っていたプロバイダーメールを、今も重要サービスの登録メールや復旧用メールに使っていないか確認してください。
まず確認したいこと
対象サービスを利用している可能性がある場合は、次の順で確認します。
- 自分が対象メールサービスを使っているか確認する
- 各ISP事業者の公式案内を確認する
- メールパスワードを変更する
- 同じパスワードを他サービスで使い回していないか確認する
- そのメールアドレスを復旧用メールにしている重要アカウントを確認する
- 偽のパスワード変更メールやフィッシングメールに注意する
特に重要なのは、パスワード変更の入口です。メール本文にあるリンクをそのままクリックするのではなく、公式サイト、公式アプリ、会員ページ、ブックマークからログインしてください。
メールパスワードを変更する
対象サービスを利用している場合は、各ISP事業者の案内に従って、メールパスワードを変更します。メールソフトやスマートフォンに同じメールアカウントを設定している場合、パスワード変更後に再設定が必要になることがあります。
- 公式サイトの会員ページから変更する
- メール本文のリンクから直接ログインしない
- 以前と似たパスワードにしない
- 他サービスと同じパスワードにしない
- パスワード変更後、メールソフトやスマートフォンの送受信設定を確認する
メールパスワードを変更しても、他のサービスで同じパスワードを使っている場合は、そのサービス側も危険になる可能性があります。メールと同じパスワードを、ショッピングサイト、SNS、銀行、クラウド、ゲーム、会員サービスなどで使っていないか確認してください。
BIGLOBE法人サービスでは管理者と利用者で変更画面が異なる
BIGLOBE法人サービスを利用している場合は、管理者アカウントと従業員側などの利用者アカウントで、パスワード変更の入口が異なる点に注意してください。
BIGLOBE法人向けの公式案内では、管理者の場合は BIGLOBE biz.マイページ にログインし、「管理者情報ページ」から手続きすると案内されています。一方、従業員などの利用者側の場合は、オフィスサービス利用者画面 にログインし、「BIGLOBEパスワード変更」から手続きする案内です。
- 管理者さまの場合:BIGLOBE biz.マイページから「管理者情報ページ」を確認
- 利用者さまの場合:オフィスサービス利用者画面から「BIGLOBEパスワード変更」を確認
- 料金制選択コースの場合:管理画面から「BIGLOBEパスワード変更」を確認
通常の案内や検索結果では、管理者向けの画面に誘導されやすい場合があります。従業員側のアカウントで変更できない場合は、管理者向けページではなく、利用者向けの画面から手続きする必要があります。
法人契約では、管理者が一括で案内している場合もあります。会社や団体で利用しているメールの場合は、個人判断で操作を進める前に、社内管理者や情シスの案内も確認してください。
使い回しているパスワードを確認する
今回確認したいのは、メールアカウントそのものだけではありません。同じパスワードを別サービスで使っている場合、攻撃者が別サービスへのログインを試す可能性があります。
次のような使い回しがないか確認してください。
- メールパスワードと通販サイトのパスワードが同じ
- メールパスワードとSNSのパスワードが同じ
- メールパスワードとクラウドストレージのパスワードが同じ
- メールパスワードとネットバンキングのパスワードが同じ、または似ている
- 昔のプロバイダーメールを重要アカウントの復旧用メールにしている
同じ、または似たパスワードを使っている場合は、重要度の高いサービスから順に変更してください。特に、メール、金融、通販、クラウド、SNS、仕事用サービスは優先度が高いです。
偽のパスワード変更メールに注意する
今回のような情報漏えいの可能性が公表されると、「パスワード変更が必要です」「本人確認をしてください」「アカウントを停止します」といった偽メールが増えることがあります。
本物に見えるメールでも、リンク先が偽サイトの場合があります。パスワード変更は、メール本文のリンクではなく、必ず公式サイトや会員ページから行ってください。
- メール本文の「今すぐ変更」ボタンを安易に押さない
- ログイン画面のURLを確認する
- パスワード、クレジットカード番号、認証コードを入力する前に公式サイトか確認する
- 不安な場合は、事業者名で検索して公式サイトから入り直す
- 電話番号やチャット窓口も公式サイトから確認する
二段階式のフィッシングメールでは、最初に不審メールを送り、その後に「先ほどのメールは危険です」といった偽の注意喚起メールを送ってくる場合があります。焦って操作せず、公式サイトから確認することが重要です。
不審メールへの対応は、以下の記事でも整理しています。
auメールやUQ mobileメールと混同しない
今回の発表は、KDDIがISP事業者向けに提供するメールシステムに関するものです。auメール、UQ mobileメール、povoなど、すべてのKDDI関連メールが同じ対象になるという意味ではありません。
ただし、自分がどのメールサービスを使っているか分からない場合は、メールアドレスのドメイン、契約中または過去に契約していたプロバイダー、会員ページの案内を確認してください。
メールソフトやスマートフォンの設定も確認する
メールパスワードを変更すると、Outlook、Thunderbird、スマートフォン標準メールアプリなどで送受信できなくなる場合があります。その場合は、メールアカウント設定に新しいパスワードを入力し直します。
- パソコンのメールソフト
- スマートフォンのメールアプリ
- タブレットのメールアプリ
- 古いパソコンや古いスマートフォンに残っているメール設定
- 家族が使っている端末のメール設定
メールが突然受信できなくなった場合でも、焦って検索上位の非公式サポートや遠隔操作案内に進まないでください。まずは契約中のISP事業者の公式サポート情報を確認してください。
やってはいけない対応
- メール本文のリンクからパスワード変更画面に入る
- 不明なサイトでメールアドレスとパスワードを入力する
- 「流出確認ツール」を名乗る非公式サイトに入力する
- 電話やチャットで案内された遠隔操作ソフトを入れる
- 同じパスワードを少しだけ変えて使い続ける
- 対象外かどうか分からないまま放置する
- 攻撃手順や不正アクセスの再現方法を探す
不安な場合ほど、非公式の診断ツールや修復ツールに誘導されやすくなります。今回必要なのは、公式案内の確認、メールパスワード変更、使い回し確認、偽メールへの注意です。
会社や学校のメールで使っている場合
会社や学校で対象メールサービスを使っている場合は、個人判断で設定を変更する前に、管理者や情シスの指示を確認してください。メールパスワード変更により、業務端末、共有端末、メール転送、複合機、システム通知などに影響する場合があります。
- 管理者からの案内を確認する
- メール転送や共有メールボックスの設定を確認する
- システム通知の送信元メール設定を確認する
- 退職者・休眠アカウントの扱いを確認する
- パスワード変更後の送受信テストを行う
まとめ
KDDIのISP向けメールシステム不正アクセスでは、対象メールサービスで作成されたメールボックスに紐づくメールアドレスとパスワードが、最大1,422万件漏えいした可能性があります。
対象サービスを使っている可能性がある場合は、各ISP事業者の公式案内を確認し、メールパスワードを早めに変更してください。あわせて、同じパスワードを他サービスで使い回していないか、重要アカウントの復旧用メールとして使っていないかも確認しておくと安全です。
パスワード変更は、メール本文のリンクではなく、公式サイトや会員ページから行ってください。BIGLOBE法人サービスのように、管理者と利用者で変更画面が異なる場合もあります。会社や団体で使っているメールは、社内管理者の案内も確認してください。
偽のパスワード変更メール、非公式の流出確認ツール、遠隔操作サポートには注意が必要です。
