KDDIは2026年6月23日、インターネット接続事業者(ISP)向けに提供するメールシステムが不正アクセスを受け、最大1422万件の個人情報が漏洩した可能性があると発表しました。漏洩した可能性があるのは、メールアドレスとパスワードで、メール本文が流出した恐れもあるとされています。
被害の概要
不正アクセスを受けたのは、KDDIが外部のISP6社に提供するメールシステムです。対象となったのは以下の6社のサービスです:
- STNet(「ピカラ光サービス」などのメールサービス)
- KDDIウェブコミュニケーションズ(レンタルサーバ「CPI」のメールサービス)
- JCOM(「J NET」とケーブルテレビ事業者向けメールサービス)
- 中部テレコミュニケーション(「コミュファ光」などのメールサービス)
- ニフティ(「@nifty メール」)
- ビッグローブ(「BIGLOBE メール」)
なお、KDDI本体のメールサービスは別基盤で管理されており、被害は生じていません。
発覚の経緯と対応
KDDIは6月17日に不正アクセスを確認し、同日中に被害拡大を防止するためのシステム改修を実施しました。システムに採用していた第三者製ソフトウェアの脆弱性を悪用されたもので、被疑箇所の特定と技術的な防御措置も講じたとしています。公表が23日になったのは、6社と同時に周知するための準備に時間を要したためと説明しています。
KDDIは個人情報保護委員会と総務省に事態を報告済みで、ISP経由で対象利用者に対し早急にパスワードを更新するよう呼びかけています。ニフティとビッグローブは近く、現在のパスワードを無効化する方針です。
漏洩件数の内訳
漏洩した可能性があるのは、各メールサービスで作成されたメールボックスにひもづくメールアドレスとパスワードで、最大1422万件に上ります。この数値には現在利用中のアカウントだけでなく、すでに解約したユーザーや一定期間利用のない休眠アカウントも含まれています。また、パスワードの一部にはハッシュ化や暗号化したものも含まれているとしています。
背景:企業の個人情報漏洩事故の増加
東京商工リサーチによると、2025年に上場企業とその子会社が公表した個人情報の漏洩・紛失事故は180件発生しました。被害を受けた人は前年比で約2倍の3000万人超に達しており、原因の6割が不正アクセスやウイルス感染によるものだったとされています。
通信業界では、2023年にNTT西日本で子会社に勤務していた元派遣社員が約900万件の個人情報を不正に持ち出す事件が発生し、後にNTT西日本の社長が引責辞任しました。2025年にもインターネットイニシアティブ(IIJ)がサイバー攻撃を受け、メール関連など約400万人分の情報が漏洩した恐れがあると公表していました。
KDDIのガバナンス問題
KDDIでは2026年1月に、ネット広告代理業を手掛ける傘下企業(ビッグローブとジー・プラン)で架空取引による不正会計問題が発覚しました。子会社の社長が辞任し、松田浩路社長も月例報酬の一部を返納しました。
6月17日に開催された定時株主総会では、取締役の信任案において高橋誠会長の選任への賛同が62.34%、松田社長は77.67%となり、ともに前年の9割超から大幅に低下しました。これは不正会計問題の影響と見られています。
![]() |


