ニュース
KDDIのISP向けメール基盤不正アクセス、ニフティは「システムの急激な負荷」を検知
2026年7月7日 19:04
KDDIは6日、6月23日に公表したISP事業者向けメールシステムに対する不正アクセスについて、続報を発表した。
同日、影響を受けたISP事業者やメールサービスも、詳細や対応方法など続報を公表している。なかでもニフティは、これまでの詳細な経緯や今後の対応完了見込みなどを明らかにしている。
ニフティは詳細な経緯を公開、パスワード無効化措置は一両日中に完了へ
ニフティが提供する「@nifty」メールサービスでは、224万8708人のメールアドレスが漏えい。そのうち186万2462人のパスワードが漏えいした。
同社は現在、第三者による悪用を未然に防ぐための緊急措置として、パスワードの変更が確認できないメールアドレスに対して6月26日から順次パスワードの無効化を実施しているが、この無効化措置および二次被害防止措置が「一両日中を目途に完了する見込み」であることを発表した。
また、今回の発表にあわせ、不正アクセスの発端からの経緯も公開された。それによると、5月29日にメールシステムでの急激な負荷上昇が発生したという。同社は、IMAP経由の不正ログインを疑い、該当者への通知を実施。その後、6月17日にKDDIから情報漏えいの可能性などの報告を受理し、6月23日の第一報公表に至ったという。
「@nifty」メールサービスのサポートページでは、パスワードの変更などの案内を随時更新しているほか、本件に関する専用窓口として「@nifty特設ダイヤル」を設置している。
STNetは対象ユーザーに案内、変更期限までにパスワード変更がない場合は強制変更を実施
STNetが提供する「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に係るメールサービスでは、39万7152人(法人含む)のメールアドレスとそのパスワードが漏えい。件数は45万6159件にのぼる。
同社は、対象ユーザーに対して個別にメールもしくは書面で「メールアドレスのパスワード変更」に関する案内を送付。
案内に記載される変更期限までに、パスワードを変更していないユーザーに対しては、パスワードの強制変更を実施する。一両日中を目途に強制変更が完了する見込み。なお、ユーザーによって変更期限は異なる。
強制変更にともない、パソコンやスマートフォンのメールアプリを利用している場合は、ユーザー自身で新しいパスワードへの設定変更が必要。
なお、「ピカラ光サービス」について、強制変更の対象となったユーザーに対しては、個別に順次郵送で新しいパスワードを案内する。急ぎの場合は、ホームページから申し込むこともできる。
KDDIウェブコミュニケーションズ、パスワード未変更ユーザーに対して強制変更
KDDIウェブコミュニケーションズが提供するレンタルサーバー「CPI」では、125万543人のメールアドレスが漏えい。パスワードそのものの漏えいは確認されなかった。
同社は、セキュリティ向上のため、6月23日にパスワードの変更を呼びかけていたが、影響が確認されたユーザーのうち、6月18日~7月20日にパスワード変更が行われていなかった場合、7月21日未明にパスワードの強制変更を実施する。
なお、影響が確認されたユーザーに対しては、7月10日までに、該当ドメインのサーバー管理者宛に個別にメールで連絡する。
J:COMはパスワードリセットを実施済み
JCOMが提供する「J:COM NET」では、メールアドレスが247万3191人分漏えいした。パスワードの漏えいは確認されていない。
また、同社取引先のケーブルテレビ事業者向けメールサービスでは、11万9885人分のメールアドレスが漏えいした。このうち1257人についてはパスワードも漏えいしたという。
メールアドレスのみ漏えいしたユーザーに対しては、個別に順次連絡している。パスワードの漏えいは確認されなかったことから、パスワードの強制変更を実施しないが、セキュリティ向上と安心してサービスを利用してもらうため、より安全性の高いパスワードへの変更について案内している。
メールアドレスとパスワードが漏えいしたユーザーに対しては、パスワードリセットが完了している。
中部テレコミュニケーションはパスワード強制変更を実施
中部テレコミュニケーションが提供するコミュファ光・ビジネスコミュファのメールサービスで、72万7176人のメールアドレスの漏えいが確認された。そのうちパスワードが漏えいしたのは72万4344人。
同社は、該当ユーザーに連絡したうえでシステム側でパスワードの強制変更の実施を進めている。
ビッグローブではパスワードリセット、急ぎで利用予定がないユーザーには期間を置いて再設定を案内
ビッグローブが提供する「BIGLOBEメール」では、501万6432人のメールアドレスが漏えいした。このうち、463万1775人のパスワードが漏えいした。
同社は、公表後パスワードの変更を案内していたが、まだ変更していないユーザーに対してはパスワードリセットを実施する。
なお、リセット直後は手続きサイトが混み合う可能性があるため、急ぎで利用する予定がないユーザーに対しては、日にちをおいて再設定するよう協力を呼びかけている。

