「自分のメールアドレスも漏れているかもしれないのに、何もできなかったの?」
「パスワードまで流出したって聞いたけど、今すぐ何かしないといけないでしゅか?」
ボス、KDDIのメール不正アクセス事件って本当に大きな問題でしゅよね。1223万件って日本の人口の約1割でしゅよ!
ああ、国内でも過去最大規模の部類に入る漏洩だ。しかも厄介なのは、原因がゼロデイ脆弱性だという点でな。ソフトウェアのベンダー自身でさえ把握していなかった未知の欠陥を突かれた事件だ。
2026年6月、KDDIのISP向けメールシステムへの不正アクセスが発覚しました。
漏洩したメールアドレスは1223万件を超え、うち762万件ではパスワードも流出した可能性があります。
「自分のISPは大丈夫か」「パスワードを変えれば安全なのか」と不安を感じた方も多いはずです。
- 原因はゼロデイ脆弱性。ソフトウェアベンダー自身も知らなかった未知の欠陥を突かれた
- STNet・ニフティ・ビッグローブなど6社のISPユーザーのデータが流出
- メールアドレス1223万件・パスワード762万件が漏洩確定、今すぐパスワード変更が必要
この記事では、事件の経緯と原因、そして企業・個人が今すぐ取るべき対策を整理します。
目次
メールアドレス1223万件が流出した事件の概要
国内でも過去最大規模となるメール情報漏洩事件の全体像を整理します。
攻撃の発覚と漏洩規模
KDDIが不正アクセスを初めて確認したのは2026年6月17日のことです。
その後の調査で、最も早い侵入は同年5月16日から始まっていたことが判明しました。
攻撃者は約1カ月にわたってシステム内に潜伏し、データを抜き取り続けていた可能性があります。
被害の規模は以下の通りです。
| 漏洩した情報 | 件数 |
|---|
| メールアドレス | 1,223万3,087件 |
| パスワード(一部ハッシュ化・暗号化済み) | 761万6,173件 |
KDDIは7月6日に詳細を公表し、公式プレスリリースでも情報漏洩の事実と対応状況を説明しています。
解約済み顧客や休眠アカウントも漏洩対象に含まれており、現在利用していないユーザーも注意が必要な状況です。
STNetやニフティなど、影響を受けた6社のISP
6社もあるんでしゅか!自分がどのISPを使っているか確認しないといけないでしゅね。
KDDI本体のメールサービスは別の基盤で管理されているため被害はない。外部ISPに提供していたシステムが標的になったわけだ。
今回影響を受けたのは以下の6社です。
- STNet(ピカラ)
- KDDIウェブコミュニケーションズ(CPI)
- JCOM
- 中部テレコミュニケーション(コミュファ光)
- ニフティ(@nifty)
- ビッグローブ
対象者には各ISPから順次通知が行われており、パスワードの変更と多要素認証(MFA)の設定が強く推奨されています。
ゼロデイ脆弱性の悪用と企業への教訓
今回の事件で最も注目すべき点は、攻撃に使われた脆弱性の性質です。
ベンダーも知らなかった「ゼロデイ脆弱性」が悪用された
今回の攻撃は、KDDIが採用していた第三者製ソフトウェアの脆弱性を悪用したものでした。
KDDIが不正アクセスを検知した2026年6月17日時点では、そのソフトウェアのベンダー自身もこの脆弱性を把握していなかったとされています。
修正パッチが存在しない状態で攻撃を受けたわけで、これがゼロデイ攻撃の本質的な恐ろしさです。
ゼロデイ攻撃が防ぎにくい理由には、以下の点が挙げられます。
- 修正パッチが存在しないため、脆弱性を埋めることができない
- 攻撃者はゼロデイを高値で取引しており、標的を絞った組織的な攻撃に使われる
- 脆弱性が公表されるまでの間、攻撃は検知されにくく潜伏期間が長くなりやすい
つまり「パッチをきちんと当てていれば防げた」という話ではないんでしゅね…。じゃあどうすればいいんでしゅか?
パッチ管理だけでは不十分だ。侵入されても被害を最小化する「多層防御」の考え方が重要になる。
KDDIが取った緊急対応と再発防止策
KDDIは不正アクセスの発覚後、速やかに被害拡大の防止措置を取りました。
その後の対応をまとめると以下の通りです。
- 6月21日:全外部通信サーバーへのEDR(エンドポイント検知・対応)の導入を完了
- 6月23日:フォレンジック調査を実施し、被害範囲の特定を進める
- AIを活用したソフトウェア脆弱性の自動分析体制を構築
- より高いセキュリティ強度の通信規格への移行を計画
今回の事件はセキュリティ研究者による詳細分析でも注目されており、サプライチェーンリスクとゼロデイ対策の難しさを示す事例として広く取り上げられています。
ゼロデイ脆弱性への対策は、侵入を完全に防ぐことは困難という前提に立ち、早期検知と被害最小化のための体制整備が求められます。
まとめ
今回の事件が示した教訓は明確だ。自社システムだけでなく、サードパーティ製ソフトウェアのリスクも管理しなければならない。ゼロデイには「侵入されても被害を最小化する」発想が必要だ。
パスワードの変更と多要素認証の設定、すぐにやっておきましゅ!
KDDIのISP向けメール基盤への不正アクセスは、国内でも過去最大規模の個人情報漏洩事件のひとつです。
ゼロデイ脆弱性という「知られていない攻撃経路」を突かれたことで、従来のパッチ管理では防ぐことができませんでした。
サードパーティ製ソフトへの依存リスクと多層防御の重要性を、あらためて示した事件です。
対象ISPのユーザーは今すぐパスワードを変更し、多要素認証を設定することが重要です。