KDDI系ISPメール最大1422万件漏えい｜@nifty・BIGLOBE等6社の対象確認と対処

KDDIは2026年6月23日、ISP事業者向けに提供するメールシステムが不正アクセスを受け、メールアドレスとパスワードが最大1,422万件漏えいした可能性があると公表しました。対象は@niftyメール・BIGLOBEメール・J:COM NETなど6社のメールサービスで、解約済みや休眠中のアカウントも件数に含まれます。この記事では、自分が対象かどうかの確認手順、ISPごとのパスワード変更の期限（@niftyは6月25日23:59）、流出後に起こりうる二次被害とその防ぎ方を、KDDIと各ISPの公式発表にもとづいて整理します。あわせて、メール基盤を委託・利用する事業者側が今回の事案から点検すべき論点も解説します。

まとめ：対象確認と最優先のパスワード変更・二次被害対策

結論として、対象6社のメールサービスを使っているなら、ハッシュ化の有無や利用頻度にかかわらず、今すぐメールパスワードを変更してください。@niftyは2026年6月25日（木）23:59を変更期限とし、期限までに変更が確認できないアカウントはパスワードを順次無効化すると告知しています。BIGLOBEなど他社も至急の変更を呼びかけています。

変更後にやるべきことは3つです。第一に、同じパスワードを使い回している他サービスもすべて変えること。第二に、可能なサービスで多要素認証を有効にすること。第三に、漏えいしたアドレスを狙うフィッシングメールを警戒することです。事業者・情報システム部門にとっては、自社が使うメール／SaaS基盤と委託先、そこに組み込まれた第三者製ソフトの脆弱性管理を点検する契機になります。

KDDI系ISPメール不正アクセスの概要と対象6社・漏えい情報の範囲

不正アクセス確認の6月17日から公表6月23日までの経緯と時系列

KDDIが不正アクセスを確認したのは2026年6月17日です。同社は同日中に被害拡大を防ぐためのシステム改修を行い、被疑箇所を特定したうえで技術的な防御措置を実施しました。調査の結果、原因はメールシステムで利用していた第三者製ソフトウェアの脆弱性を悪用されたものと判明しています。公表は確認から6日後の6月23日で、個人情報保護委員会と総務省への報告・相談を済ませたうえでの発表でした。確認から対策実施までが同日という対応の速さは評価できます。ただし、不正アクセスが実際にいつ始まり、どの期間データを取得され得たかは公表されておらず、影響範囲の特定に向けた調査は継続中です。

対象となる6社・メールサービス（@nifty・BIGLOBE・J:COM NET等）の一覧

今回影響を受けるのは、KDDIがISP事業者向けに提供する裏側のメール基盤を使う6社のサービスです。自分のメールアドレスの末尾（ドメイン）が次のいずれかに該当しないか確認してください。

ドメインの例としては、@niftyメールなら末尾が@nifty.com、BIGLOBEメールなら@biglobe.ne.jpなどです。J:COM・コミュファ光・ピカラ光は固定回線契約に付随するメールアドレスのため、これらの回線契約者はとくに該当しやすい点に注意してください。

漏えいの可能性がある情報の範囲とハッシュ化・暗号化パスワードの扱い

漏えいの可能性があるのは、各メールサービスで作成されたメールボックスに紐づくメールアドレスとパスワードです。BIGLOBEはこれに加え、メールアドレスの追加オプション分とBIGLOBE ID、そのパスワードも対象になり得ると告知しています。パスワードについてKDDIは、ハッシュ化や暗号化されたものも含まれると説明しています。ただし、どのアカウントが平文（そのまま読める状態）で、どこまでがハッシュ化済みかの内訳は公表されていません。一部報道では電子メール本文が流出した恐れも指摘されましたが、KDDIの公式発表が対象として明示しているのはメールアドレスとパスワードです。本文流出は現時点で確定情報ではなく、最新の続報は各ISPの公式お知らせで確認してください。

「解約済み・休眠アカウントも対象」という見落としやすい注意点

見落としやすいのが、最大1,422万件という件数に解約済みの利用者や、一定期間使っていない休眠アカウントが含まれる点です。「もう解約したから関係ない」「何年も使っていないアドレスだから問題ない」という判断は、ここでは通用しません。過去に@niftyやBIGLOBE、J:COMの回線・メールを契約していた人は、現在使っていなくても対象に含まれる可能性があります。とくに、放置したアドレスのパスワードを他サービスで使い回していた場合、そのアドレスが攻撃の起点になり得ます。心当たりのある古いアカウントは、ログインできるなら変更を、使う予定がなければ正式な解約・削除を検討してください。

メールアドレスとパスワード流出で想定される二次被害とリスクの大きさ

流出した影響はメールアカウント1つにとどまりません。実務上、影響が大きい順に4つのリスクを押さえてください。

メールアカウントへの不正ログインとなりすまし送信の具体的リスク

まず直接的なのが、流出したメールアドレスとパスワードでメールアカウントに不正ログインされるリスクです。メールボックスを読まれれば、各種サービスの登録情報やパスワード再設定メールが攻撃者の手に渡ります。メールアカウントは多くのサービスでパスワード再設定の起点になるため、ここを乗っ取られると被害が連鎖します。さらに、本人になりすまして取引先や知人へ詐欺メールを送られれば、信用面の二次被害にも発展します。

パスワード使い回しが招くパスワードリスト攻撃と他サービスへの被害連鎖

次に深刻なのが、流出した組み合わせを他サービスのログインで片端から試す「パスワードリスト攻撃」です。メールのパスワードを通販・SNS・ネットバンキングなどで使い回している場合、1か所の流出が芋づる式に全サービスへ波及します。実務でまず手を打つべきはこのリスクです。今回のメールパスワードと同じ文字列を使っている他サービスは、メールの変更と並行して、すべて別々のパスワードへ変えてください。

漏えいしたアドレスを悪用するフィッシング・標的型メールの増加リスク

流出したメールアドレスそのものも、攻撃の材料になります。アドレスがリスト化されて出回ると、それを宛先にしたフィッシングメールや標的型メールが増えます。今回のような事案の直後はとくに、「パスワード変更のお願い」を装った偽メールが本物に紛れて届きやすくなります。送信元が公式かどうか、リンク先のドメインが正規のものかを、開く前に必ず確認してください。

ハッシュ化・暗号化されていても安全と断定できない理由と判断の基準

「パスワードはハッシュ化されているなら安全では」という見方には注意が必要です。ハッシュ化の方式が古い（MD5やSHA-1など）場合や、利用者が単純なパスワードを設定していた場合は、解析によって元のパスワードが割り出される余地があります。今回はハッシュ化の方式も、どのアカウントが対象かも公表されていません。情報が公開されていない以上、「ハッシュ化されているから大丈夫」と判断する根拠はありません。安全側に倒して変更するのが妥当です。

第三者製ソフトの脆弱性とサプライチェーン型メール基盤漏えいの構造

なぜ1社のシステム侵害が6社・最大1,422万件という規模に広がったのか。原因と構造を理解しておくと、再発時の自衛にもつながります。

悪用された第三者製ソフトウェアの脆弱性とKDDI本体メールが無事だった理由

原因としてKDDIが挙げているのは、メールシステムで利用していた第三者製ソフトウェアの脆弱性の悪用です。自社開発部分ではなく、システムに組み込んだ外部製ソフトが侵入口になった構図です。一方で、KDDIが自社ブランドで提供するau・UQ mobileのメール（@au.com、@ezweb.ne.jp等）は別基盤で運用されており、今回の被害は受けていません。同じKDDIでも、影響が出たのはISP事業者向けに提供していたメール基盤に相乗りしていたサービスに限られます。被害の線引きは「KDDIかどうか」ではなく「どの基盤に載っていたか」で決まっています。

1つのメール基盤の侵害が6社の利用者に波及したサプライチェーン構造

今回の事案の本質は、KDDIが裏側のメール基盤を運営し、複数のISPがその上で自社ブランドのメールサービスを提供する「基盤共用」の構造にあります。利用者から見えるのは@niftyやBIGLOBEですが、その下で動くインフラはKDDIが提供していました。この構造では、1つの基盤が侵害されると、その上に乗る全事業者の利用者へ一気に影響が及びます。攻撃者にとっては、1か所を破れば大量の認証情報をまとめて取得できる効率的な標的になるわけです。

IIJ・NTTPC・村田製作所など近年の同種事案に共通するパターン

メール基盤や委託先を起点とする漏えいは、今回が突出した例外ではありません。2025年にはインターネットイニシアティブ（IIJ）がサイバー攻撃を受け、メール関連を含む約400万人分の情報が漏えいした恐れを公表しました。2026年4〜5月にはNTTPCコミュニケーションズのWebARENA関連サービスが相次いで不正アクセスを受けています。製造業や採用領域でも、村田製作所が2026年3月に公表した不正アクセス被害や、マイナビ利用クラウドへの不正アクセスによる11万件超の流出のように、外部基盤・委託先経由の侵害が続いています。共通するのは、メールやクラウドという長く使われてきた基盤に組み込まれた第三者製ソフト・委託先が侵入口になり、1つの侵害が下流の多数の利用者へ波及する点です。

対象かどうかの確認手順とISP別パスワード変更の期限・正しい方法

利用者が実際に取る手順は「対象か確認 → メールパスワードを変更 → メールソフトを再設定」の順です。

自分が対象か確認する方法と漏えい有無をチェックできるサービス

まず、自分が対象かどうかを各ISPの公式お知らせページで確認します。@niftyは対象アドレスかどうかを確認できるページを用意し、BIGLOBEやJ:COMも会員サポート上で告知しています。検索結果やSNSで流れてくる情報ではなく、契約中のISPの公式サイトを起点にしてください。自分のアドレスが過去の漏えいに含まれていないかを横断的に調べたい場合は、Googleのダークウェブレポートによる漏えい確認のような仕組みも併用できます。ただし、今回の事案の最新情報は各ISPの公式発表が一次情報である点は変わりません。

@niftyメールの変更期限6月25日23:59と未対応時の順次無効化

@niftyメールを使っている場合、変更期限は2026年6月25日（木）23:59です。期限までにメールパスワードの変更が確認できないアカウントは、安全確保のためシステム側でメールパスワードが順次無効化されます。無効化されると、それまでのパスワードではメールソフトでの送受信ができなくなります。ニフティは問い合わせ用に特設ダイヤル（0120-985-275、受付10:00〜18:00）も開設しています。メールパスワードとログインパスワードを同じ文字列にしている場合は、ログインパスワードもあわせて変更するようニフティは推奨しています。

BIGLOBE・J:COM等そのほか5社の確認先と公式案内の見方

BIGLOBEは、BIGLOBEメールアドレス（追加オプション分を含む）・BIGLOBE ID・パスワードが漏えいした可能性があるとして、至急のパスワード変更を呼びかけています。現在のパスワードを使い続けると、個人情報の漏えいや身に覚えのないサービスの不正利用につながる恐れがあるとしています。J:COM・コミュファ光・ピカラ光・CPIの利用者も、それぞれの公式お知らせと会員ページの案内に従ってください。各社で変更画面の場所や期限の扱いが異なるため、必ず自分が契約しているサービスの案内を確認することが必要です。

メールソフト（Outlook・Mac メール等）側のパスワード再設定手順

Webメールではなく、Outlookやスマートフォンのメールアプリで送受信している場合は、サービス側でパスワードを変えただけでは送受信が止まります。メールソフトに保存された古いパスワードも更新してください。

1. 各ISPの公式ページからメールパスワードを新しいものに変更する
2. 使っているメールソフト（Outlook、Macの「メール」、スマホの標準メールアプリ等）のアカウント設定を開く
3. 受信・送信サーバーに登録されているパスワードを、新しいパスワードへ書き換える
4. テスト送受信を行い、エラーが出ないことを確認する

PCとスマホなど複数の端末で同じアドレスを使っている場合は、すべての端末で設定を更新する必要があります。

偽の「パスワード変更」案内メールを見分ける具体的なチェックポイント

事案の直後は、混乱に乗じた偽の「パスワード変更案内」が届きやすくなります。次の特徴があるメールは、本文中のリンクを開かず、公式サイトに自分でアクセスして確認してください。

• 送信元アドレスのドメインが、契約しているISPの正規ドメインと一致しない
• 「24時間以内」「今すぐ」など、極端に短い期限で操作を急がせる
• 日本語の言い回しが不自然、または社名・サービス名の表記が公式と微妙に違う
• ログインIDやパスワードそのものをメールへ返信するよう求めている

正規のパスワード変更は、メール内リンクではなく、自分のブックマークや公式アプリから手続きするのが安全です。@niftyのように電話の問い合わせ窓口が公式に案内されている場合は、不安なときにそちらで確認できます。

パスワード使い回しの解消・多要素認証・不正利用監視という追加対策

同じパスワードを使う他サービスの一括変更とパスワード管理ツールの導入

最優先は、漏えいしたメールパスワードと同じ文字列を使っている他サービスをすべて変えることです。サービスごとに異なる十分な長さ（英大文字・小文字・数字・記号を混ぜた12文字以上が目安）のパスワードを設定し、二度と使い回さない状態にします。覚えきれない数になるため、1PasswordやBitwardenなどのパスワード管理ツールで生成・保管するのが現実的です。管理ツールを使えば、どのサービスに同じパスワードを使っていたかの洗い出しもしやすくなります。

多要素認証（MFA）を有効化すべきサービスと設定の優先順位

パスワードが漏れても不正ログインを防ぐ最後の砦が多要素認証（MFA）です。メールアカウント、ネットバンキング、主要なSNS・通販など、乗っ取られると被害が大きいサービスから優先して有効化してください。認証方式は、SMSよりも認証アプリ（TOTP）やパスキーのほうが、SIMスワップやフィッシングに対して強いとされています。すべてを一度に設定する必要はありません。今回のようにパスワードが流出した局面では、まず被害の大きいサービスにMFAがあるかどうかが分かれ目になります。

不審なログイン通知・身に覚えのない請求を継続的に監視する方法

変更とMFA設定の後も、しばらくは監視を続けてください。各サービスのログイン履歴・通知をオンにし、身に覚えのないログインや決済がないかを確認します。クレジットカードの利用明細も、普段より丁寧に見ておくと安心です。不審なログイン通知が来たら、即座にパスワードを再変更し、必要に応じてカード会社やサービス窓口へ連絡します。漏えいしたアドレス宛のフィッシングは数週間から数か月続くことがあるため、警戒は一度で終わらせないことが肝心です。

事業者・情報システム部門が点検すべき委託先管理と外部基盤の脆弱性対応

メールやクラウドを委託・利用する事業者・情報システム部門にとって、今回の構図は自社が同じ立場に置かれ得ることを示しています。

自社が利用するメール・SaaS基盤と委託先の棚卸しという最初の一手

最初の一手は、自社が利用するメール基盤・SaaS・レンタルサーバーと、その提供元・委託先を一覧化することです。「誰が、どこのデータセンターで、どのソフトを使って自社のメールを動かしているか」を把握できていない組織は少なくありません。今回のように基盤提供元で障害が起きたとき、自社の利用者や従業員へどう告知し、どのアカウントを変更させるかを即断するには、利用実態の棚卸しが前提になります。

第三者製ソフト・OSSの脆弱性管理とサポート終了（EOL）品の放置リスク

侵入口が第三者製ソフトの脆弱性だった点は、どの組織にも当てはまる教訓です。自社システムに組み込んだ外部製ソフトやOSSについて、バージョンと既知の脆弱性、サポート終了（EOL）の有無を継続的に把握してください。サポートが切れた製品を放置すると、修正パッチが出ない脆弱性がそのまま残ります。利用しているコンポーネントの一覧（ソフトウェア部品表＝SBOM）を整備し、脆弱性情報が公開されたら影響範囲をすぐ確認できる体制が、被害の早期遮断に直結します。

委託先・サプライチェーンに確認すべきセキュリティ項目の優先順位

委託先・サプライチェーンに確認すべき項目には優先順位があります。まず押さえるのは次の点です。

• 第三者製ソフト・OSSの脆弱性管理とパッチ適用の運用体制
• 不正アクセスを検知する仕組みと、検知から自社への通知までの時間
• インシデント発生時の連絡フロー（誰が・いつ・何を報告するか）
• 預けているデータの範囲と、保持・削除のルール（解約後データの扱いを含む）

契約書のSLAや情報セキュリティ条項に、これらが具体的に書かれているかを確認してください。網羅的なチェックリストをいきなり全部埋めるより、侵入口になりやすい脆弱性管理と、検知・通知の体制から着手するのが実務的です。今回のように解約済みデータまで漏えい対象に含まれる以上、「解約後にデータが残り続けていないか」は軽視できない確認項目です。

漏えい時の個人情報保護委員会・総務省報告と利用者周知の実務論点

漏えいが起きた場合、個人情報保護法にもとづく個人情報保護委員会への報告と、本人（利用者）への通知が必要になります。電気通信事業者であれば総務省への報告も関わります。今回KDDIは、確認から公表まで6日で、関係省庁への報告を済ませたうえで発表しました。実務では、報告期限（速報・確報の時限）と通知文面のテンプレートを平時に用意しておくと、有事の初動が早まります。解約済み利用者を含めて「誰に」通知するかの線引きも、事前に方針を決めておくべき論点です。

よくある質問

KDDI系ISPメールの漏えいについて、利用者から多い疑問を公式発表ベースで整理します。

自分が漏えいの対象かどうかは、どうやって確認できますか？

契約しているISP（@nifty・BIGLOBE・J:COM・コミュファ光・ピカラ光・CPI）の公式お知らせページで確認できます。@niftyは対象アドレスかどうかを確認できるページを設けています。自分のメールアドレスの末尾が対象サービスのドメイン（例：@nifty.com、@biglobe.ne.jp）かどうかも判断材料になります。検索結果やSNSの情報ではなく、必ず契約中のISPの公式サイトを起点に確認してください。

パスワードを変更しないと、メールは使えなくなりますか？

サービスによって扱いが異なります。@niftyは2026年6月25日23:59までに変更が確認できないアカウントについて、安全確保のためメールパスワードを順次無効化すると告知しており、無効化後は従来のパスワードでメールの送受信ができなくなります。無効化の有無にかかわらず、変更しないままだと第三者に不正ログインされ、メールの盗み見やなりすまし送信、他サービスへの被害連鎖につながる恐れがあります。早めの変更が安全です。

解約済みやしばらく使っていないメールアドレスも対象ですか？

対象に含まれます。KDDIは最大1,422万件の中に、解約済みの利用者や一定期間使っていない休眠アカウントも含まれると説明しています。過去に対象サービスを使っていた人は、現在利用していなくても漏えいの対象になり得ます。とくに、当時のパスワードを他のサービスでも使い回していた場合は、そのアドレス・パスワードの組み合わせが攻撃に使われる恐れがあるため、該当する他サービスのパスワードを変更してください。

パスワードはハッシュ化されていたそうですが、それでも変更は必要ですか？

必要です。KDDIはパスワードにハッシュ化・暗号化されたものも含まれるとしていますが、どの方式で、どのアカウントが対象かは公表していません。古いハッシュ方式や単純なパスワードは解析で元の値を割り出される余地があり、「ハッシュ化されているから安全」と判断できる根拠はありません。情報が公開されていない状況では、安全側に立って変更するのが妥当です。

au・UQ mobileのメール（@au.com・@ezweb.ne.jp）も影響を受けますか？

影響を受けません。KDDIが自社で提供するau・UQ mobileのメール（@au.com、@ezweb.ne.jp、@uqmobile.jp等）は、今回不正アクセスを受けたISP事業者向けメールシステムとは別の基盤で運用されています。パスワード変更が必要なのは、@niftyメールやBIGLOBEメールなど、KDDIがISP向けに提供していたメール基盤を使う6社のサービスです。ただし、パスワードの使い回しは別問題のため、auメールでも他サービスと同じパスワードを使っているなら見直しをおすすめします。

関連記事

• 村田製作所が2026年3月に公表した不正アクセス被害の全容：外部経由の不正アクセスがどう拡大したかを追った事例です。
• マイナビ利用クラウドへの不正アクセスで11万件超が流出：クラウド・委託先を起点とする情報流出の具体例です。
• 駿河屋で発生した個人情報漏えい事件の概要：通販事業者で起きた漏えいの経緯と対応をまとめています。
• アサヒグループHDを襲撃した大規模サイバー攻撃（ランサムウェア）：事業継続にまで影響したサイバー攻撃の事例です。
• Googleの「ダークウェブレポート」とは：自分の情報が漏えいしていないかを確認する仕組みの解説です。