@niftyのメールサービスに対する外部からの不正アクセスにより、メールアドレスと「メールパスワード」が第三者に漏えいした可能性があることが判明した。ニフティは対象者に対し、2026年6月25日23時59分までにメールパスワードを変更するよう案内し、変更が確認できないアカウントは6月26日0時以降に順次無効化するとしている。
事案の要点
- 攻撃者・脅威アクター:不明
- 標的・被害組織:ニフティ株式会社(@niftyメールサービスの利用者)
- 攻撃手法・マルウェア種別:@niftyメールの基盤システム(提供元:KDDI株式会社)に存在した脆弱性を悪用した外部からの不正アクセス
- 被害規模・影響範囲:メールアドレスおよびメールパスワードが第三者に漏えいした可能性がある。会員情報(氏名、住所など)への不正アクセスは確認されていない
- 現在の対応状況:対象者へ順次メールで案内、メールパスワード変更手続きを実施中。6月25日23時59分までに変更が確認できない場合は、6月26日0時から順次無効化
事案の詳細
ニフティは2026年6月23日、@niftyのメールサービスで外部からの不正アクセスが発生し、メールアドレスおよびメールパスワードが第三者に漏えいした可能性があると公表した。原因は、メールサービスで利用していた基盤システムに存在した脆弱性の悪用とされている。
今回対象となっているのは、@niftyの「メールパスワード」であり、@nifty IDのログインに用いる「ログインパスワード」とは別の認証情報として扱われている。ニフティは、メールパスワードの変更を対象者に求めており、同じ文字列をログインパスワードや他サービスでも使い回している場合は、二次被害防止のため見直しが必要になる。
現時点で確認されているのは、メールサービスへの不正アクセスによるメールアドレスとメールパスワードの漏えい可能性であり、会員情報そのものへの不正アクセスは確認されていない。侵害の詳細な経路や、実際にどの範囲の情報が閲覧・取得されたかについては、公開情報の範囲ではなお詳細不明である。
@niftyは対象者に対して順次メールで変更手続きを案内し、メールパスワードの変更が確認できない場合は、安全確保のため現在のメールパスワードを順次無効化するとしている。また、問い合わせ用に特設ダイヤルを設け、サポート対応を行っている。
推奨される対策
- メールパスワードの変更:対象案内が届いた場合は、期限までにメールパスワードを変更する。
- パスワードの使い回し確認:メールパスワードをログインパスワードや他サービスと同一にしている場合は、関連するパスワードも変更する。
- 無効化への備え:期限までに変更できない場合、メールソフトでの送受信に影響が出る可能性があるため、再設定手順を確認しておく。
- 不審なメールへの注意:漏えい事案に便乗したフィッシングメールや偽の案内に注意する。
- 利用履歴の確認:ログイン通知や送受信の履歴に不審な点がないか確認する。
よくある質問
「メールパスワード」と「ログインパスワード」は同じものですか?
同じではありません。今回ニフティが案内しているのは、@niftyメールサービスで使う「メールパスワード」であり、@nifty IDへのログインに使う「ログインパスワード」とは別の認証情報です。
今回、漏えいの可能性があるのは何ですか?
公表内容では、メールアドレスとメールパスワードが第三者に漏えいした可能性があるとされています。会員情報(氏名、住所など)への不正アクセスは確認されていません。
利用者は何を確認・変更すべきですか?
まず、自分の@niftyアカウントでメールパスワードとログインパスワードが別管理かを確認し、案内対象であればメールパスワードを期限内に変更してください。同じ文字列を他サービスでも使っている場合は、関連するパスワードも見直す必要があります。
期限までに変更しないとどうなりますか?
ニフティは、6月25日23時59分までに変更が確認できないメールアドレスについて、6月26日0時をもって現在のメールパスワードを順次無効化すると案内しています。無効化後は、従来のパスワードではメール送受信ができなくなる可能性があります。