2026年6月23日、KDDIが「最大1422万件のメールアドレスとパスワードが漏えいした可能性がある」と発表しました。@nifty メールや BIGLOBE メールなど、長く使われてきた老舗のメールサービスが対象です。IT小僧(こぞう)が率直に言えば、件数そのものより「パスワードの使い回し」が引き起こす二次被害のほうが、はるかに厄介です。
この記事では事件の全体像、いま打つべき手、そして普段の備えまでを順を追って解説します。
「自分は au だから関係ない」と思った人ほど、最後まで読んでほしいと思います。理由は本文で説明します。
確認できている事実
発表は2026年6月23日。不正アクセスの確認は6月17日で、KDDI は同日中にシステムを改修し防御措置を実施。原因は社内で利用していた第三者製ソフトウェアの脆弱性(ぜいじゃくせい)の悪用。漏えいの可能性があるのはメールアドレスとパスワードで最大1422万件。au と UQ mobile のメールは別基盤のため影響なし、とKDDI が明言しています。
まだ確定していない点(注意)
パスワードは「ハッシュ化・暗号化されたものも含む」とされていますが、すべてが暗号化されていたのか、一部に平文が含まれていたのかは公表されていません。攻撃者がいつから侵入していたか(取得できた期間)も不明です。メール本文の流出については現時点で言及がありませんが、調査は継続中です。続報で変わる可能性がある前提で読んでください。
1. 何が起きたのか:事件の全体像
今回の事件で押さえておきたいのは、KDDI が「メールの裏側」を動かすインフラ提供者だったという構造です。利用者から見えているのは @nifty や BIGLOBE といった各社のブランドですが、その土台となるメールシステムを KDDI が ISP(インターネットサービスプロバイダー)事業者向けに提供していました。土台が一度破られたことで、その上に乗っていた複数のサービスの利用者が、まとめて影響を受けることになりました。
まずは事実関係を時系列で整理します。
| 項目 | 内容 |
| 発表日 | 2026年6月23日(発表元はKDDI) |
| 不正アクセス確認日 | 2026年6月17日(同日中に改修・防御措置を実施) |
| 原因 | 利用していた第三者製ソフトウェアの脆弱性を悪用された(具体名やCVE番号は非公表) |
| 漏えいの可能性がある情報 | メールアドレスとパスワード 最大1422万件 |
| 対象に含まれるもの | 解約済みアカウント、長期間使われていない休眠アカウントも含む |
| 影響を受けないもの | au のメール、UQ mobile のメール(別基盤で管理) |
| 当局への対応 | 個人情報保護委員会と総務省への報告・相談を進めている |
1422万件という規模は、日本の世帯数のおよそ4分の1に相当する数です。もちろん解約済みや休眠アカウントを含む最大値なので、現役の利用者だけならもう少し少なくなりますが、それでも国内のメール漏えいとしては相当に大きな部類に入ります。
2. 対象となった6社のメールサービス
影響を受けたのは次の6社です。普段「自社のメール」だと思って使っていたサービスの裏側に KDDI の基盤があった、というケースが大半でしょう。自分が現在または過去に使っていないか確認してください。
| 事業者 | 主なメールサービス |
| ニフティ | @nifty メール |
| ビッグローブ | BIGLOBE メール |
| JCOM | J:COM NET 付帯のメール |
| 中部テレコミュニケーション | コミュファ光、ビジネスコミュファ |
| STNet | ピカラ光などピカラ関連のメール |
| KDDI ウェブコミュニケーションズ | レンタルサーバー CPI のメールサービス |
ポイントは、解約済みでも対象になりうるという点です。「昔ピカラを使っていた」「引っ越し前にコミュファ光だった」という人も、当時のメールアドレスとパスワードが含まれている可能性があります。そして、そのときのパスワードを今も別のサービスで使い回しているなら、そこが弱点になります。
3. なぜ「パスワードの使い回し」がここまで怖いのか
読者の方が最初に感じた疑問、つまり「漏れたメールアドレスだけでなく、同じパスワードを使っている他のアカウントにも影響が出るのでは」という指摘は、まさに核心を突いています。結論から言えば、そのとおりです。
攻撃者は、漏えいしたメールアドレスとパスワードの組を一覧にして、ネット銀行、ショッピングサイト、SNS、クラウドサービスなどに片っ端から自動でログインを試みます。これをリスト型攻撃(クレデンシャルスタッフィング)と呼びます。1つの組み合わせが他社サービスでもそのまま通ってしまうと、芋づる式に乗っ取られていくわけです。
ここが一番の地雷
被害の大きさを決めるのは、漏らした側だけではありません。同じパスワードをあちこちで使い回していた利用者自身が、被害を拡大させる側に回ってしまうのです。逆に言えば、サービスごとに違うパスワードにしていれば、たとえ1つ漏れても被害はそのサービス内で止められます。
「ハッシュ化されているなら安全では」と思うかもしれません。ハッシュ化(パスワードを元に戻せない形へ変換して保存する仕組み)は確かに保護になりますが、単純なパスワードや短いパスワードは、時間をかければ解析される余地が残ります。だからこそ、漏れた前提でパスワードを変えるのが鉄則です。
1Passwordの利用も有効です。 Password Manager パスワード地獄から解放される唯一の答え 1Password を激推しする理由、全部話します 銀行、SNS、仕事のツール、ショッピングサイト……気づけば管理するパスワー ... 続きを見る
もうパスワード管理で悩まない!エンジニアが本気で推す1Password完全ガイド
4. パスワード漏えいが報告されたら、まずやること
今回のような発表があったとき、順番に手を打てば慌てる必要はありません。優先度の高い順に並べます。
| 手順 | やること |
| 1 | 対象サービスのパスワードを今すぐ変更する。各社の公式サイトから自分でアクセスして変更するのが安全。 |
| 2 | 同じパスワードを使い回している他のサービスも、すべて別々のパスワードへ変更する。ここが最重要。 |
| 3 | 重要なアカウントは多要素認証(MFA、エムエフエー。複数の方法で本人確認する仕組み)を有効にする。 |
| 4 | メールやSMSのお知らせを装った偽の案内に注意する。リンクは踏まず、公式サイトを自分で開いて確認する。 |
| 5 | 心当たりのないログイン通知や、不審な取引・送信履歴がないか身の回りのアカウントを点検する。 |
なお、ニフティは6月25日23時59分までにパスワードを変更するよう要請し、期限後は順次パスワードを無効化すると告知しました。期限を過ぎるとメールの送受信ができなくなる場合があります。メールソフト(Outlook、Thunderbird、Mac の標準メールなど)に保存したパスワードも、新しいものへ更新する必要があります。対象の方は各社の最新の案内を必ず確認してください。
偽の「パスワード変更のお願い」に注意
こうした事件のあとは、混乱に便乗したフィッシング(偽サイトへ誘導して情報を盗む手口)が必ず増えます。メール内のボタンやリンクからではなく、ブラウザーで公式サイトを自分で開いてログインする習慣をつけてください。これだけで多くの被害を防げます。
5. 普段から気を付けておくこと
事件が起きてから慌てないために、平常時にやっておくと効く対策をまとめます。難しいことはありません。仕組みで守るのがコツです。
| 対策 | なぜ効くのか |
| パスワードを使い回さない | 1つ漏れても被害をそのサービス内に閉じ込められる。最も効果が高い基本。 |
| 長く複雑なパスワードにする | 英字・数字・記号を混ぜた12文字以上が目安。短いものは解析されやすい。 |
| 多要素認証を使う | パスワードが漏れても、もう一段の確認でログインを止められる。 |
| パスワード管理ツールを導入する | サービスごとに別々の長い文字列を自動生成・記憶。覚える負担なく使い回しを防げる。 |
| OS とアプリを更新する | 脆弱性を突く攻撃の多くは、更新を当てるだけで防げる。自動更新を有効に。 |
| 漏えい確認サービスを活用する | 自分のメールアドレスが過去の漏えいに含まれるか調べられる。定期点検に有効。 |
この中でも「使い回しをやめる」と「多要素認証を入れる」の2つを徹底するだけで、今回のような事件の二次被害はほぼ封じられます。残りはその上乗せだと考えてください。
6. 情報が漏えいしたと気づいたときの対処
仮にすでに乗っ取りや不正利用の兆候を見つけたら、落ち着いて次の順で動きます。被害を止めることが最優先です。
| 状況 | 対処 |
| ログインできなくなった | 乗っ取りの可能性。各サービスの公式窓口からアカウント復旧を申請する。 |
| 身に覚えのない取引・送信がある | すぐにパスワードを変更し、ネット銀行やカードは利用停止・再発行を依頼する。 |
| 同じパスワードを他でも使っていた | 該当する全サービスのパスワードを、それぞれ別のものへ変更する。 |
| 金銭被害が出た | 証拠を残したうえで、警察のサイバー窓口や消費生活センターへ相談する。 |
大切なのは記録を残すことです。不審なメールやログイン通知は消さずに保存しておくと、相談や調査のときに役立ちます。
7. スマホ・パソコンのおすすめセキュリティ対策
ここからは「結局、何を入れればいいのか」という実用面です。IT小僧の立場で正直に言うと、高い製品を買うことより、無料でも標準の機能をきちんと使い、使い回しをやめることのほうが効きます。そのうえで、目的別の選び方を整理します。なお以下は一般的な情報であり、特定製品の購入を勧めるものではありません。最新の対応状況は各公式サイトで確認してください。
| 用途 | 選び方とおすすめの考え方 |
| Windows パソコン | 標準搭載の Microsoft Defender でも基本性能は十分。手厚いサポートや迷惑メール対策を求めるなら、ノートン、ESET、ウイルスバスターといった総合ソフトを検討。 |
| Mac パソコン | macOS は比較的堅牢だが過信は禁物。偽サイト対策や家族共有を重視するなら総合ソフトの Mac 版も選択肢。 |
| iPhone | iOS はアプリが隔離されており、いわゆるウイルス対策の実効性は限定的。それより OS の更新と多要素認証が重要。偽サイトブロックや迷惑SMS対策の機能を持つアプリは有用。 |
| Android スマホ | 標準の Google Play Protect に加え、ノートンやウイルスバスターのモバイル版で偽サイト・不審アプリ対策を上乗せできる。提供元不明アプリの導入は避ける。 |
| パスワード管理 | 無料枠が充実した Bitwarden、多機能な 1Password などが定番。まずはブラウザー内蔵の管理機能から始めてもよい。 |
| 多要素認証アプリ | Google Authenticator や Microsoft Authenticator が手軽。SMS より乗っ取りに強い。 |
| 漏えい確認 | Have I Been Pwned は、自分のメールアドレスが過去の漏えいに含まれるか無料で調べられる。定期的な確認に向く。 |
総合ソフトを1本入れておくと、ウイルス対策だけでなく、偽サイトのブロックや迷惑メールの仕分けまでまとめて面倒を見てくれるので、初心者ほど恩恵が大きいです。一方で上級者なら、標準機能とパスワード管理ツール、多要素認証の組み合わせだけでも十分守れます。自分の手間と相談して決めてください。
IT小僧の本音コラム
率直に評価したいのは KDDI の初動だ。検知したその日のうちにシステムを改修し、防御措置まで打った。これは口で言うほど簡単ではない。検知から数日、ひどいと数週間放置される事案も珍しくない中で、同日対応はきちんと褒めていい。
ただ、どうしても腑に落ちないのが「ハッシュ化・暗号化されたものも含む」という言い回しだ。裏を返せば、含まれていないもの、つまり平文があった可能性を否定していない。本当にすべて暗号化されていたなら、そう書けばいい。曖昧にぼかしている時点で、利用者は最悪を想定して動くしかない。
そしてもう一つ。今回は IIJ、TOKAI、WebARENA と続いてきた「メール基盤への侵入」の最新版だ。共通するのは、第三者製のソフトや共通基盤の弱点が突かれ、1つの侵害が下流の何百万人にまで波及するサプライチェーン構造。多くの利用者は、自分の @nifty メールや BIGLOBE メールの裏側が KDDI の基盤だったことすら知らなかったはずだ。便利さの裏で、こうした依存関係はどんどん見えなくなっている。
だが本当の地雷は、今回の漏えいそのものより「パスワードの使い回し」だと断言しておく。1422万件のアドレスとパスワードの組が一覧になれば、それはネット銀行や SNS をこじ開ける鍵束になる。被害の大きさを決めるのは、漏らした企業だけじゃない。使い回していた自分自身でもあるんだ。だから今日やることは2つ。パスワードを変えること、そして二度と使い回さない仕組みへ移ること。それだけで、次に同じニュースが流れても「ああ、また面倒だな」で済ませられる側に回れる。
まとめ
KDDI の ISP 向けメールシステムへの不正アクセスで、最大1422万件のメールアドレスとパスワードが漏えいした可能性があります。対象は @nifty、BIGLOBE、J:COM NET、コミュファ光、ピカラ、CPI の6社で、解約済みや休眠アカウントも含まれます。au と UQ mobile のメールは別基盤のため影響はありません。
やるべきことはシンプルです。対象サービスのパスワードを今すぐ変える。同じパスワードを使い回していた他のサービスもすべて変える。重要なアカウントには多要素認証を入れる。あとはパスワード管理ツールに移行して、二度と使い回さない状態をつくる。この機会を、自分のパスワード習慣を見直すきっかけにしてください。
本記事は2026年6月時点で公表された情報に基づいています。被害範囲や対応は今後の調査で更新される可能性があるため、対象サービスを利用している方は各社の公式発表を必ずご確認ください。
