KDDI、メアド・パスワード最大1422万件漏えい　近年不祥事相次ぐ旧第二電電

　KDDIは2026年6月23日、インターネットサービスプロバイダー（ISP）向けに提供するメールシステムで、メールアドレスとパスワード最大1422万件が外部に漏えいした可能性があると発表した。対象は「@nifty」や「BIGLOBE」など6社10サービス。

　KDDIは6月17日、不正アクセスを確認。システムで使用していた第三者製ソフトウェアの脆弱性が悪用されたという。一方、KDDIは、侵入を許した経緯、メールアドレスとパスワードの大量取得を防げなかった理由など、自社の安全管理体制の問題については明かにしていない。対象となる6社10サービスは以下の通り。

• 1. STNet：「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」
  2. KDDIウェブコミュニケーションズ：「CPI」
  3. JCOM：「J:COM NET」「ケーブルテレビ事業者向けメールサービス」
  4. 中部テレコミュニケーション：「コミュファ光」「ビジネスコミュファ」
  5. ニフティ：「@niftyメール」
  6. ビッグローブ：「BIGLOBEメール」

　漏えいした可能性があるのは、各メールボックスにひも付くメールアドレスとパスワードで、最大1422万件。解約者や一定期間利用されていないメールボックスも含まれる。

　KDDIは、平文のパスワードの有無や保存形式別の件数は明らかにしていないが、メールアドレスとパスワードが第三者に不正取得された可能性があるとして、利用者に早急なパスワード変更を求めている。同じパスワードをほかのインターネットサービスで使い回している場合、不正ログインを受ける可能性がある。

不祥事が相次ぐKDDIグループ

　KDDIは、京セラの稲盛和夫氏（故人）らが1984年に設立した第二電電企画（後の第二電電）を前身とし、2001年に現社名へ変更した。通信自由化を背景に事業を拡大してきたが、近年は事業運営や情報管理を巡る問題が相次いでいる。

　2021年には、公正取引委員会が、KDDIの販売代理店に対する評価制度などが、端末価格の自由な設定を妨げるおそれがあると指摘。KDDIは要請を受け、代理店評価から契約数を外すなど取引方法を見直した。

　2022年7月には、au、UQ mobile、povoなどで全国規模の通信障害が発生。音声通話やデータ通信が約61時間25分にわたり利用しにくくなり、延べ3091万人以上に影響した。総務省はKDDIと沖縄セルラー電話を行政指導した。

　2024年には、連結子会社JCOMのWi-Fiサービスで、利用者23万1941件の氏名と一部のメールアドレスが漏えいした。

　同年7月には、au、UQ mobile、povoなどの海外通話サービスで料金の過大請求が判明。一部の請求は2016年9月から2024年5月まで、約8年間続いていた。

　2026年3月には、連結子会社ビッグローブと、その子会社の広告代理事業で、2018年8月から2025年12月まで架空循環取引が続いていたことが判明。
両社の広告代理事業の売上高の約99.7％が架空循環取引によるもので、訂正対象の売上高は累計2461億円、社外への資金流出額は329億円に上った。