KDDIは、主にインターネットサービス事業者（ISP）へ向けて裏方として提供している共有のメールシステムが、外部からの不正アクセスを受けたことを明らかにしました。

同社が運用するこの基盤システムから、最大で1422万件ものメールアドレスおよびパスワードが外部へ流出した可能性があるという極めて深刻な状況です。直接的なKDDIユーザーだけでなく、他社のプロバイダサービスやレンタルサーバーを利用してメールを運用している多くの個人ユーザー・企業が巻き込まれる形となっています。

KDDIの発表によると、同社がメールシステムの侵害を確認したのは2026年6月17日のことです。システム内部で使用されていた「サードパーティ（外部）製ソフトウェア」に存在していたセキュリティ上の脆弱性を攻撃者に悪用され、不正な侵入を許してしまったと説明しています。

このメールシステムの提供を受け、実際に影響が出ている対象事業者は以下の計6社です。

• ニフティ
• ビッグローブ
• JCOM
• STNet
• 中部テレコミュニケーション
• KDDIウェブコミュニケーションズ（関連会社）

これらの事業者は、一般向けのインターネット接続サービス（プロバイダ）に付随するメールサービスのほか、企業のWebサイト運用などに使われるレンタルサーバーに紐づくメールサービスなどを幅広く展開しています。そのため、対象となるアカウント数が最大1422万件という膨大な規模に膨れ上がりました。

今回のシステム侵害により、一部のサービスメニューにおいては、メールボックスの利用に必要となる「メールアドレス」と「パスワード」がセットで流出したおそれがあります。これは、単にメールを覗き見られるリスクに留まらない、深刻な二次被害の引き金となり得ます。

今回の事件は、自社のセキュリティをいくら固めていても、信頼していた大手通信キャリアのサプライチェーン（委託システムやサードパーティ製ソフト）の脆弱性によって情報が漏えいしてしまうという、現代のサイバーリスクの難しさを証明しています。KDDIは各対象サービスの利用者に対応を呼びかけていますが、現時点で公表されている情報は、2026年6月23日時点のものとなります。

流出した可能性のあるデータが「メールアドレス」と「パスワード」のセットである以上、最も警戒すべきは「リスト型アカウントハッキング（パスワードの使い回しを狙った攻撃）」です。もし、該当するプロバイダのメールパスワードを、社内の重要なクラウドサービス、基幹システム、ECサイト、あるいはSNS等で使い回していた場合、それらの外部アカウントへ一斉に不正ログインされ、さらなる機密情報の窃取や金銭的被害へと拡大する恐れがあります。