【速報】KDDIメール漏えい(パスワード761万件)に便乗するフィッシングに注意|偽の「パスワード変更」メールを見分ける

この記事のまとめ
KDDIは2026年7月6日、ISP向けメールシステムへの不正アクセスでメールアドレス1223万件・パスワード761万件の漏えいを公表。今後、これに便乗した「パスワード変更のお願い」を装う偽メールの増加が予想されます。本物との見分け方と対処法を解説します。
何が起きたのか(確認されている事実)
KDDIは2026年7月6日、同社がISP(インターネット接続事業者)向けに提供しているメールシステムが不正アクセスを受け、利用者の情報が漏えいしたと公表しました。総務省への報告書で示された規模は次のとおりです。
- メールアドレス:約1223万件(12,233,087名分)
- パスワード:約761万件(7,616,173名分)
原因は、メールシステムに導入されていた第三者製ソフトウェアの脆弱性を悪用されたものとされています。一部のISPでは2026年5月16日ごろから不正アクセスが発生しており、KDDIが検知したのは6月17日と発表されています。
対象となるサービス
漏えいの対象として案内されているのは、次の6サービスです。
- @niftyメール
- BIGLOBEメール
- J:COM NET
- コミュファ光
- ピカラ
- CPI
一方で、「au メール」「UQ mobile メール」「au one net メール」は別の設備で運用されており、今回の不正アクセスの影響はないとされています。自分の使っているメールが対象かどうかは、各サービスの公式サイトの案内で確認してください。
いま警戒すべきこと:便乗フィッシングの増加
過去の大きな情報漏えいでは、その直後から「あなたの情報が漏れました。至急パスワードを変更してください」といった偽メール・偽SMSが急増するのが常です。今回も、KDDIや対象6サービスを装った便乗フィッシングが送られてくる可能性が高いと考えられます。注意するに越したことはありません。
便乗フィッシングが厄介なのは、「本当に漏えいがあった」という事実を利用して、本物らしく見せてくる点です。ニュースで漏えいを知った直後に「パスワード変更のお願い」が届くと、つい本物だと思ってリンクをタップしてしまいます。
※現時点で、今回の漏えいに便乗した具体的な偽メールの文面が公的に確認・公表されているわけではありません。以下は、過去の同種事例から想定される手口として注意喚起するものです。
想定される便乗フィッシングの例
- 件名「【重要】お客様のパスワード漏えいに関する緊急のお知らせ」などで不安をあおる
- 「24時間以内に変更しないとアカウントを停止します」と急がせる
- メール内のボタン・URLから偽のログイン画面に誘導し、ID・パスワードを入力させる
- 「本人確認のため」としてクレジットカード番号や個人情報を求める
いずれも、本物の漏えいに乗じて、さらに新しいパスワードやカード情報まで抜き取ろうとするのが狙いです。
本物の案内と便乗詐欺の見分け方
パスワード変更そのものは正しい対策ですが、「どこから変更するか」が最重要です。次の3点で見分けてください。
ひとつめ、変更はメールのリンクからではなく、自分で公式サイト・公式アプリから行う。@nifty、BIGLOBE、J:COMなど各サービスの公式サイトを、ブックマークや検索から自分で開いてログインし、そこからパスワードを変更します。メールに貼られたリンクは、たとえ本物そっくりでもタップしないのが鉄則です。
ふたつめ、急かす・脅す表現を疑う。「24時間以内」「今すぐ」「停止します」と焦らせるのは詐欺の典型です。本物の事業者の案内は、事実と手順を淡々と伝えるもので、過度に不安をあおることはほとんどありません。
みっつめ、送信元アドレスとURLを確認する。差出人が公式ドメインか、リンク先が各社の正規ドメインかを確認します。見慣れない文字列や、公式と1文字違いのドメイン、短縮URLなどは危険サインです。
いますぐやるべき対策
対象サービスを使っている・いないにかかわらず、この機会に次の対策をしておくと安心です。
- 対象6サービスのメールを使っている人は、公式サイトからパスワードを変更する(メールのリンク経由ではなく、自分でアクセス)。
- 同じパスワードを他のサービスでも使い回している場合は、それらもすべて変更する(使い回しは、1か所の漏えいが連鎖被害につながります)。
- 二段階認証(2ファクタ認証)を設定する(パスワードが漏れても、乗っ取りを防ぎやすくなります)。
- しばらくは「パスワード変更」「漏えい確認」を促すメール・SMSに強く警戒する(本物の漏えいに便乗した偽メールが届く前提で対応する)。
もし偽メールのリンクを開いてしまったら
「リンクを開いてID・パスワードを入力してしまった」場合は、初動が大切です。
まず、入力してしまったサービスのパスワードを、公式サイト・公式アプリからすぐに変更します。同じパスワードを使い回している他のサービスも変更してください。カード情報を入力してしまった場合は、カード会社に連絡して利用停止・再発行を依頼します。不安なときは、警察相談ダイヤル #9110、または消費者ホットライン 188 に相談してください。
「これって詐欺?」で30秒チェック
「このパスワード変更メール、本物?」と迷ったら、無料の判定ツールで確認できます。
- 選択式で30秒チェック
- スクショアップロードで詳細判定
- 完全無料・登録不要
困ったときの相談窓口
- 警察相談ダイヤル #9110(24時間・通話料有料)
- 消費者ホットライン 188(最寄りの消費生活センターへ)
- 各サービスの公式サポート窓口(パスワード変更・漏えい確認はここから)
緊急時・進行中の被害は 110番(警察)へ。
参考情報・公的情報源
本記事は以下の公的機関・報道・公式情報源を参考に作成しています。最新情報や対象範囲は、必ず各サービスの公式発表をご確認ください。
編集部
警察庁・国民生活センターの公表情報をもとに、最新の詐欺手口を発信しています。


