概要

KDDIは2026年6月23日、同社が提供するメール管理サービスに対して第三者による不正アクセスがあったと発表した。同社は6月17日に侵害を検知し、即日アクセスを遮断して防御措置を強化した。今回の流出は傘下5社のISP(STNet・JCOM・中部テレコミュニケーションズ・ニフティ・BIGLOBE)のユーザーにも及んでおり、現役アカウントだけでなく過去に解約・休眠状態となったアカウントを含めると最大1,420万件の認証情報が影響を受けた可能性があると報告されている。

攻撃の手法と流出データ

攻撃者はKDDIのメールサービス基盤に組み込まれた「サードパーティ製ソフトウェアの脆弱性」を悪用した。KDDIは当該ソフトウェアの名称や脆弱性の具体的な内容については公開しておらず、ゼロデイ攻撃であったかどうかも明らかにされていない。流出したデータはメールアドレスとパスワードで、KDDIは「一部のパスワードはハッシュ化および暗号化された状態で保存されていた」と説明しているが、平文で保存されていたパスワードの割合や使用された暗号化方式については言及していない。休眠・解約済みアカウントが被害対象に含まれることで、通知が困難な被害者が生じる可能性も指摘されている。

当局への報告と利用者への推奨事項

KDDIは同日、個人情報保護委員会および総務省に対して報告を行い、影響を受けた各ISPと協力して追加の安全対策を講じると発表した。利用者に対してはパスワードのリセットと、利用可能な場合は二要素認証の有効化を強く推奨している。パスワードが「ハッシュ化・暗号化」されていたことで直接的なアカウント乗っ取りのリスクは一定程度軽減されているものの、フィッシング攻撃や個人情報を悪用した不正アクセス試行のリスクは依然として残るため、注意が必要だ。

今後の課題

今回の事件はKDDIのサードパーティソフトウェア管理とサプライチェーンセキュリティの問題を浮き彫りにした。調査は現時点でも継続中とされており、被害の全容は未だ解明されていない。複数のISPにまたがる共通基盤を攻略されたことで広範な影響が出た今回の構図は、通信キャリアが傘下サービスのセキュリティ品質を一元的に担保することの難しさを示している。KDDIが外部に委託している他のサービスにも同様のリスクが潜んでいないか、改めて精査が求められる。