日本の通信事業者KDDIは、6つのインターネットサービスプロバイダーにわたって最大1422万件のメールアカウントに影響を与える可能性のある大規模なデータ漏洩を公表した。これは今年の日本における最大級のサイバーセキュリティインシデントの一つとなる。
KDDIによると、2026年6月17日に管理メールシステムへの不正アクセスを検出し、同日中に侵入を封じ込めた。この漏洩は外部からの報告ではなく、KDDI独自のセキュリティ監視が不審な活動を特定し、それ以上のアクセスをブロックしたことで発覚した。
KDDIの調査によると、攻撃者はメールプラットフォームに統合されたサードパーティソフトウェアの脆弱性を悪用した。これにより、脅威行為者はKDDIのインフラに依存するプロバイダー全体のユーザーメールボックスに関連する認証情報にアクセスすることができた。
影響を受けた6つのISPは、STNet、KDDI Web Communications、JCOM、中部テレコミュニケーション、ニフティ株式会社、BIGLOBEである。影響を受けたサービスには、Pikara Hikari、J:COM NET、Commufa Hikari、@nifty Mail、BIGLOBE Mailなどが含まれる。
漏洩したデータにはメールアドレスとパスワードが含まれている。KDDIはパスワードがハッシュ化および暗号化されており、直接的なアカウント侵害の即時リスクは限定的であるとしつつも、フィッシングや個人情報詐欺が引き続き懸念されると述べている。メールの内容も閲覧された可能性がある。
KDDIはこのインシデントを日本の個人情報保護委員会および総務省に報告した。同社は影響を受けたユーザーに対し、直ちにパスワードを変更するよう促しており、6つのISPと連携して顧客への通知とパスワードリセットを進めている。
今回の漏洩は、通信セクターの共有インフラを標的にしたサイバー攻撃の傾向に沿ったものだ。セキュリティ研究者らは、サードパーティ製ソフトウェアプラットフォームの侵害が、単一の脆弱性の影響を複数の下流プロバイダーに増幅させる可能性があると指摘している。
KDDIは攻撃者が使用した侵入経路を特定した後、防御を強化し追加の保護措置を実施したと述べている。脅威行為者の正体は不明であり、調査が続いている。
Sources: Data breach exposes up to 14.2 million email logins at six ISPs (BleepingComputer、2026年6月28日); KDDI Data Breach Impacts up to 14.2 Million Email Accounts at Six ISPs (Security Affairs、2026年6月28日)
雅子 訳