KDDIがISP事業者向けに提供しているメールシステムで不正アクセスが発生し、メールアドレスとパスワードが最大1,422万件漏えいした可能性があると発表されました。
対象には、BIGLOBEメール、@niftyメール、J:COM NET、コミュファ光、ピカラ関連メール、CPIのメールサービスなどが含まれます。
今回の問題で特に注意したいのは、漏えいした可能性がある情報に「メールのパスワード」が含まれている点です。
メールのパスワードが漏れると、単にメールを読まれるだけではありません。
Amazon、楽天、Yahoo!、Apple ID、Googleアカウント、SNS、各種ネットサービスのパスワード再設定に悪用されるおそれがあります。
この記事では、今回のKDDI系メール漏えいの内容を整理したうえで、BIGLOBEメールや@niftyメールなどを使っている人が今すぐ確認すべきことを、家庭向け・職場向けの両方の視点で解説します。
この記事で分かること
この記事では、次の内容を解説します。
- 自分のメールが対象か確認するポイント
- メールパスワードが漏れると何が危ないのか
- 古いプロバイダメールを放置している場合の注意点
- パスワード変更後にOutlookやスマホで受信できない場合の確認点
- 家庭や職場で見落としやすい確認ポイント
- 便乗フィッシングメールへの注意点
「自分はBIGLOBEや@niftyを使っていないから関係ない」と思っていても、古いメールアドレスがAmazon、楽天、銀行、クレジットカードなどの登録先として残っている可能性があります。
普段使っていないメールアドレスも含めて、一度確認しておくことが大切です。
KDDI系メールで何が起きたのか
KDDIは、ISP、つまりインターネットサービスプロバイダー向けに提供しているメールシステムが不正アクセスを受けたと発表しました。
不正アクセスを確認したのは2026年6月17日です。
KDDIによると、メールシステムで利用していた第三者製ソフトウェアの脆弱性が悪用されたことが原因とされています。
漏えいした可能性があるのは、対象メールサービスのメールボックスにひもづく以下の情報です。
| 漏えいした可能性がある情報 | 内容 |
|---|---|
| メールアドレス | 対象サービスで作成されたメールアドレス |
| パスワード | メール利用に必要なパスワード |
| 件数 | 最大1,422万件 |
| 対象範囲 | 解約済み・休眠利用者も含まれる可能性あり |
| パスワードの状態 | ハッシュ化・暗号化されたものも含まれる |
ここで重要なのは、現在使っている人だけでなく、過去に使っていた人や、しばらく使っていないメールアドレスも対象に含まれる可能性がある点です。
「もう使っていないから関係ない」と考えるのは危険です。
古いメールアドレスをAmazon、楽天、Yahoo!、銀行、クレジットカード、SNSなどの登録メールとして使い続けている場合、そのメールアカウントが他サービスへの入口になっている可能性があります。
対象となる可能性があるメールサービス
KDDIの発表で対象とされている主なメールサービスは以下です。
| 事業者 | 対象となる可能性があるメールサービス |
|---|---|
| STNet | ピカラ光サービス、ピカラモバイルサービス、お仕事ピカラサービス関連メール |
| KDDIウェブコミュニケーションズ | レンタルサーバー「CPI」のメールサービス |
| JCOM | J:COM NET、ケーブルテレビ事業者向けメールサービス |
| 中部テレコミュニケーション | コミュファ光、ビジネスコミュファのメールサービス |
| ニフティ | @niftyメール |
| ビッグローブ | BIGLOBEメール |
一般家庭での利用者が多いと思われるのは、BIGLOBEメール、@niftyメール、J:COM NET、コミュファ光、ピカラ関連メールです。
また、職場や小規模事業者では、CPIのレンタルサーバーで作成したメールアドレスを使っているケースも考えられます。
特に、昔からプロバイダメールを使い続けている家庭や、代表メール・問い合わせメールを古い契約のまま運用している職場では注意が必要です。
まず確認すべきこと
対象サービスを使っている可能性がある人は、次の順番で確認してください。
| 確認項目 | 確認する場所 |
|---|---|
| 対象メールを使っていないか | メールアプリ、Outlook、スマホのメール設定 |
| 古いプロバイダメールが残っていないか | 以前使っていたPC、家族のスマホ、古い契約書 |
| 重要サービスの登録メールになっていないか | Amazon、楽天、Yahoo!、Apple、Google、銀行、クレジットカード |
| 同じパスワードを他でも使っていないか | ネットショッピング、SNS、会員サイト |
| 家族も使っていないか | 配偶者、親、子どもの端末 |
特に注意したいのは、家族や高齢の親が昔から使っているプロバイダメールです。
プロバイダメールは一度設定すると長年そのまま使われることが多く、本人も「どの会社のメールを使っているか」を意識していない場合があります。
メールアプリのアカウント設定画面や、メールアドレスのドメイン部分を確認してください。
以下のようなメールアドレスを使っている場合は、各事業者の公式案内を確認してください。
@nifty.com
@***.biglobe.ne.jp
@***.jcom.zaq.ne.jp
@***.commufa.jp
@***.pikara.ne.jp※上記は確認のきっかけとなる一例です。対象となるメールアドレスやドメインは契約内容により異なるため、必ず各事業者の公式案内を確認してください。
古いメールアドレスを放置している人ほど注意
今回の件で見落としやすいのが、現在メインで使っていない古いプロバイダメールです。
普段はGmailやiCloudメールを使っていても、Amazon、楽天、Yahoo!、銀行、クレジットカード、古い会員サイトの登録メールだけが昔のプロバイダメールのまま残っていることがあります。
この場合、本人は「もう使っていない」と思っていても、実際には重要サービスのパスワード再設定先として残っている可能性があります。
たとえば、次のようなケースです。
| 状況 | 注意点 |
|---|---|
| 昔のプロバイダメールを楽天やAmazonに登録したまま | パスワード再設定メールを受け取られる可能性がある |
| 親の銀行・クレジットカード登録メールが古いまま | 本人が気づかないまま重要通知を見落とす可能性がある |
| 退職者や旧担当者のメールが職場に残っている | 業務情報や取引先情報が残っている可能性がある |
| 使っていないPCのOutlookに設定が残っている | 古いパスワードで接続を繰り返す可能性がある |
| サービス解約後もメールアドレスを使っていた | 休眠利用者として対象に含まれる可能性がある |
古いメールアドレスを使っていた人は、メールのパスワード変更だけでなく、重要サービスの登録メールアドレスも見直しておくと安心です。
特に、次のようなサービスは優先して確認してください。
- Amazon
- 楽天
- Yahoo! JAPAN
- Apple ID
- Googleアカウント
- Microsoftアカウント
- 銀行
- 証券会社
- クレジットカード
- PayPay、楽天ペイなどの決済サービス
- メルカリ、ヤフオクなどのフリマサービス
メールアドレスは、単なる連絡先ではなく、アカウント復旧の入口です。
古いメールアドレスを放置している場合、そこが一番弱い入口になることがあります。
メールパスワードが漏れると何が危ないのか
「メールのパスワードが漏れただけなら、そこまで危なくないのでは?」と感じる人もいるかもしれません。
しかし、メールアカウントは多くのネットサービスの本人確認に使われています。
メールを乗っ取られると、次のような被害につながるおそれがあります。
| 起きる可能性がある被害 | 内容 |
|---|---|
| 他サービスの乗っ取り | パスワード再設定メールを受け取られる |
| 個人情報の閲覧 | 過去メールから氏名・住所・電話番号・契約情報を見られる |
| なりすましメール送信 | 家族・知人・取引先へ詐欺メールを送られる |
| ネット通販の不正利用 | Amazon、楽天などの登録情報を悪用される |
| 業務情報の漏えい | 請求書、見積書、契約書、問い合わせ内容を見られる |
メールは単なる連絡手段ではなく、多くのサービスで「パスワードを忘れた場合の復旧先」として使われています。
つまり、メールアカウントを取られると、他のサービスまで芋づる式に狙われる可能性があります。
今回の件で最も重要なのは、メールそのものよりも、メールを入口として他サービスへ攻撃が広がるリスクです。
今すぐやるべき対応
対象サービスを利用している可能性がある場合は、次の順番で対応してください。
1. 公式サイトからパスワードを変更する
まず、対象メールのパスワードを変更してください。
このとき、メール本文のリンクを安易にクリックせず、ブラウザで公式サイトを検索するか、普段使っているブックマークからアクセスすることをおすすめします。
今回のような大規模な情報漏えいの後は、便乗したフィッシングメールが増える可能性があります。
以下のような文面のメールが届いても、すぐにリンクを押さないでください。
「パスワード変更はこちら」
「アカウントを停止します」
「本人確認が必要です」
「メールサービス継続利用の確認」本物の案内に見えても、リンク先が偽サイトの可能性があります。
必ず公式サイトや公式サポートページから確認してください。
2. 使い回しているパスワードも変更する
今回変更すべきなのは、対象メールのパスワードだけではありません。
同じパスワードを他のサービスでも使っている場合は、そちらも変更してください。
特に優先度が高いのは以下です。
| 優先度 | サービス |
|---|---|
| 高 | Amazon、楽天、Yahoo!ショッピング |
| 高 | Apple ID、Googleアカウント、Microsoftアカウント |
| 高 | 銀行、証券、クレジットカード |
| 高 | PayPay、楽天ペイ、各種決済サービス |
| 中 | X、Instagram、Facebook、LINE |
| 中 | メルカリ、ヤフオク、フリマアプリ |
| 中 | WordPress、レンタルサーバー、ASP管理画面 |
パスワードの使い回しがあると、メールとは無関係のサービスまで不正ログインされる危険があります。
特に、メールパスワードとネット通販・決済サービス・金融サービスのパスワードが同じ場合は、優先して変更してください。
3. 新しいパスワードは推測されにくいものにする
新しいパスワードは、末尾の数字だけ変えるような設定は避けてください。
たとえば、以下のような変更は危険です。
password2025 → password2026
biglobe123 → biglobe456
nifty0601 → nifty0624推測されにくい長いパスワードを設定することが重要です。
パスワード管理アプリやブラウザのパスワード生成機能を活用するとよいでしょう。
また、他のサービスと同じパスワードは使わないでください。
@niftyメールは期限までの変更が必要
@niftyメールでは、指定期限までにメールパスワードの変更が確認できない場合、安全確保のためメールパスワードを順次無効化すると案内されています。
無効化された場合、それまで使っていたメールパスワードでは、Outlookなどのメールソフトで送受信できなくなります。
@niftyメールを利用している人は、後回しにせず、公式案内から変更手順を確認してください。
また、@niftyでは「ログインパスワード」と「メールパスワード」が分かれている場合があります。
Outlookなどのメールソフトによる送受信に使うのは、メールパスワードです。
Webメールへのログインと、メールソフトの送受信で使うパスワードが異なる場合があるため、公式案内を確認しながら変更してください。
BIGLOBEメールはBIGLOBE ID・パスワードも確認する
BIGLOBEの案内では、BIGLOBEメールアドレス、BIGLOBE IDおよびパスワードが漏えいした可能性があるとされています。
そのため、BIGLOBEメールを使っている人は、メールの利用だけでなく、BIGLOBE IDでログインするサービスへの影響も確認してください。
BIGLOBEでは、パスワード変更時に電話認証を求められる場合があります。
パスワード変更を行う際は、公式サポートページの案内に沿って進めてください。
また、パスワード変更を行っていない利用者を対象に、強制リセットが行われる可能性も案内されています。
BIGLOBEメールを使っている場合は、早めに公式情報を確認して対応することをおすすめします。
パスワード変更後にOutlookやスマホでメールが受信できない場合
メールパスワードを変更すると、Webメールではログインできても、Outlook、Thunderbird、iPhoneメール、Androidメールなどで送受信できなくなる場合があります。
これは、メールソフト側に古いパスワードが保存されたままになっているためです。
パスワード変更後にメールが使えなくなった場合は、次の順番で確認してください。
| 確認すること | 内容 |
|---|---|
| Webメールにログインできるか | 公式サイトのWebメールで新パスワードが正しいか確認 |
| 受信設定のパスワード | Outlookやスマホの受信サーバー設定を更新 |
| 送信設定のパスワード | SMTPサーバー側のパスワードも更新 |
| 複数端末の設定 | PC、スマホ、タブレット、家族端末を確認 |
| アカウントロック | 何度も失敗している場合は時間を置くか公式サポートを確認 |
特に見落としやすいのが、送信サーバー側のパスワードです。
受信はできるのに送信できない場合は、SMTP認証のパスワードが古いままになっている可能性があります。
また、古いPCや使っていないタブレットにメール設定が残っていると、その端末が古いパスワードで繰り返し接続を試みてアカウントロックの原因になることがあります。
パスワード変更後にメールが使えない場合は、「メールサービスが止まった」と考える前に、メールソフト側の保存済みパスワードを更新してください。
家庭で確認したいポイント
家庭では、本人だけでなく家族のメール利用状況も確認してください。
特に注意したいのは以下のケースです。
- 家族が昔からBIGLOBEメールや@niftyメールを使っている
- プロバイダ変更後も古いメールアドレスを使い続けている
- 親のネット通販や銀行の登録メールが古いプロバイダメールのまま
- スマホではなく古いPCのOutlookでメールを受信している
- メールパスワードと他サービスのパスワードが同じ
- 家族の誰かが、昔の契約メールを重要サービスに登録したままにしている
プロバイダメールは、昔から使っている人ほど変更されずに残りがちです。
「今も使っているか」だけでなく、「重要サービスの登録先として残っていないか」を確認することが大切です。
特に高齢の親の場合、自分がどのメールを使っているか分からないまま、昔のメールアドレスを通販や金融サービスに登録していることがあります。
家族で確認する場合は、次の順番で見ると分かりやすいです。
- スマホやPCのメールアプリに設定されているメールアドレスを見る
- Amazon、楽天、Yahoo!などの登録メールを確認する
- 銀行、クレジットカード、保険、証券会社の登録メールを確認する
- 使っていない古いメールアドレスが残っていれば変更する
- 同じパスワードを使っていないか確認する
職場で確認したいポイント
小規模な職場や、ひとり情シス・総務担当者がいる職場では、次の点を確認してください。
| 確認項目 | 具体例 |
|---|---|
| 業務用メールとして使っていないか | info、contact、代表メール、施設メール |
| 共有メールになっていないか | 複数人で同じメールアドレスを使っている |
| 取引先連絡に使っていないか | 見積、請求、契約、問い合わせ対応 |
| メールソフトの再設定が必要か | Outlook、Thunderbird、スマホ |
| パスワードの使い回しがないか | サーバー管理画面、ASP、WordPressなど |
| 退職者・旧担当者のメールが残っていないか | 過去の問い合わせ用、旧代表メール、旧担当者アカウント |
特に、代表メールや問い合わせメールを対象サービスで運用している場合は注意が必要です。
メールを乗っ取られると、取引先や利用者に対して実在する職場を装った不審メールが送られるおそれがあります。
過去のメールに見積書、請求書、契約書、個人情報が含まれている場合、メールボックスの中身を見られること自体が大きなリスクになります。
職場で該当する可能性がある場合は、パスワード変更にとどまらず、関係者への注意喚起も行ってください。
また、共有メールを複数人で使っている場合は、パスワード変更後に全員のOutlookやスマホで設定更新が必要になることがあります。
職場向けの周知文例
職員向けに周知する場合は、難しい技術用語よりも「何をしてはいけないか」を明確に伝えることが重要です。
職員各位
KDDI系の一部メールサービスにおいて、メールアドレスおよびパスワードが漏えいした可能性があるとの発表がありました。
対象には、BIGLOBEメール、@niftyメール、J:COM NET、コミュファ光、ピカラ関連メールなどが含まれます。
業務用または個人利用で対象メールを使用している場合は、各サービスの公式案内を確認し、速やかにメールパスワードを変更してください。
また、パスワード変更を案内するメールを装ったフィッシングメールが届く可能性があります。
メール本文内のリンクを安易にクリックせず、必ず公式サイトから確認してください。
同じパスワードを他のサービスでも使っている場合は、そちらのパスワードも変更してください。
パスワード変更後にOutlookやスマホでメールが使えなくなった場合は、メールソフトに保存されているパスワードの更新が必要です。このように、職員向けには「何が起きたか」よりも、「何をすればよいか」「何をしてはいけないか」を中心に伝える方が効果的です。
便乗フィッシングメールに注意
今回のような大規模な情報漏えいが報道されると、それに便乗したフィッシングメールが増える可能性があります。
以下のような件名・文面には注意してください。
【重要】メールアカウント停止のお知らせ
【至急】パスワード変更が必要です
【本人確認】メールサービス継続利用の確認
【警告】不正アクセスを検知しました
【重要】メールボックス容量超過のお知らせ実際に事業者から重要なお知らせが届くこともありますが、メール本文のリンクからログインするのではなく、公式サイトを自分で開いて確認することが重要です。
不審なメールかどうか迷った場合は、次の点を確認してください。
| 確認項目 | 注意点 |
|---|---|
| 差出人アドレス | 表示名だけで判断しない |
| リンク先 | 見た目と実際のURLが違う場合がある |
| 日本語表現 | 不自然な表現や過度に急かす文言に注意 |
| 添付ファイル | 開かない |
| ログイン画面 | 公式サイトか必ず確認 |
| 期限を強調する表現 | 焦ってリンクを押さない |
「急いでください」「今日中に対応しないと停止します」といった表現は、本物の案内でも使われることがあります。
そのため、急ぎの案内であっても、メール内リンクではなく公式サイトから確認する習慣が大切です。
公式リンク・参考情報
今回の件については、最新情報が更新される可能性があります。
対象サービスを利用している人は、ニュース記事だけで判断せず、必ず各社の公式案内を確認してください。
- KDDI公式発表:ISP向けメールシステムへの不正アクセスについて
- BIGLOBE公式発表:「BIGLOBEメール」への不正アクセス発生のお詫びとご報告
- BIGLOBE会員サポート:不正アクセス発生に関するお詫びと、パスワード変更のお願い
- @nifty公式案内:【第一報】当社メールサービスへの不正アクセスの発生について
- J:COM公式発表:当社メールサービスに対する不正アクセスの発生について
- @niftyセキュリティ:@niftyをかたるメールにご注意ください
※コミュファ光、ピカラ、CPIなどの対象サービスを利用している場合は、各サービスの公式サイトでも最新情報を確認してください。
まとめ:メールは他サービスの入口。早めの確認が必要
今回のKDDI系メール漏えいで重要なのは、メールアドレスとパスワードが漏えいした可能性がある点です。
メールアカウントは他サービスのパスワード再設定や本人確認に使われるため、単なるメールの問題では済まない可能性があります。
特に確認すべきことは次の5つです。
- BIGLOBEメール、@niftyメール、J:COM NET、コミュファ光、ピカラ関連メール、CPIメールを使っていないか確認する
- 対象メールのパスワードを公式サイトから変更する
- 同じパスワードを使っている他サービスも変更する
- Outlookやスマホのメール設定も新しいパスワードに更新する
- パスワード変更を装ったフィッシングメールに注意する
さらに、今回の件では「昔使っていたメールアドレス」や「普段見ていないプロバイダメール」も重要です。
古いメールアドレスがAmazon、楽天、銀行、クレジットカードなどの登録先として残っている場合、そのメールが他サービスへの入口になる可能性があります。
メールは、多くのネットサービスの「入口」です。
メールパスワードが漏れた可能性がある場合は、早めに変更し、使い回しがないか確認しておくことが大切です。
特に家族や職場で古いプロバイダメールを使っている場合は、本人が気づいていないこともあります。
今回の件をきっかけに、使っていないメールアドレスや古いメール設定も一度見直しておくと安心です。
