2026年6月23日、KDDI社がインターネットサービスプロバイダー(ISP:インターネット接続サービスなどを提供する事業者)向けに提供しているメールシステムに対する不正アクセスが発生したと発表。
これにより対象となるISP事業者が手掛けるメールサービスの情報が最大1422万件流出した可能性が懸念されている。
KDDIによると、不正アクセスの確認は2026年6月17日。
同日中にシステムを改修し、被害の拡大を防ぐための技術的な防御措置を講じたという。
調査の結果、原因は同システムで利用していた第三者製ソフトウェアの脆弱性を悪用したものだったとされており、不正アクセスの開始時期については現在も調査中だという。
影響を受けたのは、以下の6社のメールサービスで、STNetが提供する「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」関連のメールサービス、KDDIウェブコミュニケーションズのレンタルサーバー「CPI」のメールサービス、JCOMの「J:COM NET」とケーブルテレビ事業者向けメールサービス、中部テレコミュニケーションの「コミュファ光」「ビジネスコミュファ」のメールサービス、ニフティの「@nifty メール」、ビッグローブの「BIGLOBE メール」などが上がっている。
流出の可能性がある情報には、各メールサービスで作成されたメールボックスに紐づくメールアドレスとパスワードが該当しているとのこと。
なお、KDDI自身が直接運営するauメールなどのサービスは別システムのため、今回の影響を受けていない。
KDDIは影響を受けるISP事業者に対して順次連絡を行い、パスワード変更などの対策を要請しており、各ISP事業者からも利用者向けに案内が発信された。
現時点で不正利用などの実被害報告は確認されていないものの、KDDIは個人情報保護委員会と総務省への報告・相談を進めるとともに、影響範囲の特定に向けた調査を継続していくという。
また、CPIからも同様の内容が公表されており、対象顧客の詳細調査中だとしている。
利用者は対象サービスのメールを利用している場合、各ISP事業者から届く案内を確認し、早急にパスワードを変更することが推奨されており、他のサービスと使い回さない、強力なパスワードを設定するなどの基本対策が二次被害防止に有効だという。