- KDDIは6社のISPに影響が及んだ不正アクセスを確認し、最大1,422万件のメールアドレスとパスワードが流出したことを明らかにしました
- パスワードの一部は暗号化されておらず、1,220万件のメールアドレスと760万件のパスワードが流出したとの推計も出ています
- 同社は迅速なパスワード変更を呼びかけるとともに、ISP各社と連携した対策を進め、再発防止を約束しました
日本最大級の通信事業者の一つであるKDDIは、最近ハッキング被害を受け、取引先ISPの顧客に関するメールアドレスと暗号化されていないパスワードが大量に流出したことを認めました。
先月公表されたデータ漏えいに関する通知の中で、同社は2026年6月17日に「不正アクセス」を確認したと述べています。
「これにより、これらISPが提供するメールサービスの情報の一部が外部に流出した可能性があります」と、この通知の機械翻訳には記されています。
ISP各社と連携した対策
今回の事案は、KDDIが顧客のメールアカウント、ウェブメール、メールストレージの管理に使用しているメールシステムに影響を及ぼしたとされています。
KDDIによると、今回の攻撃はSTNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、BIGLOBEの6社のISPに影響を及ぼしました。これらのメールボックスに関連する最大1,422万件のメールアドレスとパスワードが流出した可能性があり、これには元顧客のアカウントや休眠ユーザーのアカウントも含まれています。
パスワードの「一部」はハッシュ化または暗号化されていたと同社はさらに説明しており、これは裏を返せば一部は暗号化されていなかったことを示唆しています。また、1,422万件という数字は「最大の見積もり」であり、調査は依然として継続中であるとも述べています。The Recordの報道では、顧客のメールアドレス1,220万件とパスワード760万件が流出したとされています。
6月17日に侵入を検知して以来、KDDIは各ISPと連絡を取り「対策を協議」しており、顧客に対して可能な限り速やかにパスワードを変更するよう呼びかけています。「お客様は、契約されているISPからの案内に速やかに従っていただく必要があります」と同社は述べています。「KDDIは引き続きISP各社と協力し、顧客への通知と迅速なパスワード変更の支援を行ってまいります」。また、「多くの顧客」がすでにパスワードを変更済みであるとも説明しています。
「現在、影響範囲および原因の分析を進めるとともに、ISP事業者と連携してお客様への対応を行い、再発防止策を講じております」と同社は述べています。
KDDIはNTTドコモやソフトバンクと肩を並べる、日本最大級の通信事業者の一つです。モバイル契約者数は約7,200万件に上ります。