KDDIのメールシステムに不正アクセスがあり、メールアドレスやパスワードが漏えいした可能性があると発表されました。このニュースを見て、「auを使っている自分も対象なのか?」「auメールのパスワードも漏れたのか?」と不安に思った人も多いのではないでしょうか。
結論から言うと、今回問題になっているのは、KDDIが一部のISP事業者向けに提供していたメールシステムです。つまり、一般的なau携帯電話ユーザー全員が一律に対象という話ではありません。
ただし、対象サービスを利用していた人や、同じパスワードを他のサービスでも使い回していた人は注意が必要です。この記事では、今回のKDDIパスワード漏えい問題について、auユーザーへの影響、対象サービス、今すぐ確認すべきことをわかりやすく解説します。
今回の問題は、KDDIが一部のインターネットサービスプロバイダー向けに提供していたメールシステムが不正アクセスを受けたというものです。
漏えいした可能性がある情報は、主にメールアドレスとパスワードです。報道や発表では、最大で1,400万件を超える規模の情報が影響を受けた可能性があるとされています。
パスワードについては、暗号化やハッシュ化された状態のものも含まれるとされていますが、だからといって安心できるわけではありません。もし悪意のある第三者が情報を入手し、解析や不正ログインを試みた場合、メールアカウントや他のサービスへの不正アクセスにつながるおそれがあります。

多くの人がまず気になるのは、「自分はauユーザーだけど、今回の漏えい対象なのか?」という点でしょう。
現時点で公表されている内容を見る限り、今回の対象はKDDIが提供していた一部のプロバイダー向けメールサービスです。そのため、auのスマートフォンを使っている人全員、UQ mobileを使っている人全員、povoを使っている人全員が対象というわけではありません。
特に、au携帯電話で使われる「@au.com」や「@ezweb.ne.jp」のメールアドレスが、今回の対象サービスとして直接示されているわけではありません。
つまり、「KDDIのニュースだからauユーザー全員が危険」と考えるのは早計です。
ただし、auユーザーであっても、別途対象となるプロバイダー系メールサービスを利用している場合は注意が必要です。スマートフォンの契約とは別に、インターネット回線やプロバイダーのメールアドレスを使っている人は、自分のメールサービスが対象に含まれていないか確認した方がよいでしょう。
今回の問題で対象とされているのは、主にプロバイダーや関連事業者が提供しているメールサービスです。たとえば、以下のようなサービスが対象として挙げられています。
これらのメールサービスを現在利用している人はもちろん、過去に利用していた人も注意が必要です。解約済みのアカウントや、長期間使っていない休眠状態のメールボックスが含まれる可能性もあるためです。
「もう使っていないメールだから関係ない」と思うかもしれませんが、そのメールアドレスを過去にショッピングサイト、SNS、金融サービス、会員登録などに使っていた場合、別のリスクにつながる可能性があります。
メールアドレスとパスワードが漏えいした場合、まず心配されるのはメールアカウントへの不正ログインです。
メールに不正アクセスされると、受信メールを盗み見られたり、過去のやり取りから個人情報を抜き取られたりする可能性があります。また、メールの自動転送設定を勝手に変更され、本人が気づかないうちにメール内容を第三者に転送される危険もあります。
さらに深刻なのは、メールアカウントが他のサービスの「パスワード再設定」に使われる点です。
多くのネットサービスでは、パスワードを忘れた場合、登録メールアドレスに再設定用リンクが送られます。つまり、メールアカウントを乗っ取られると、他のサービスのアカウントまで乗っ取られる可能性があるのです。
たとえば、次のようなサービスに影響が広がるおそれがあります。
メールアドレスは、ネット上の多くのサービスの入り口になっています。そのため、単なるメールの問題ではなく、生活全体に関わるセキュリティ問題として考える必要があります。

今回のような漏えい問題で特に危険なのが、パスワードの使い回しです。
たとえば、対象メールサービスで使っていたパスワードと同じものを、Amazon、楽天、Yahoo!、Google、Apple、X、Instagram、銀行、クレジットカード会社などでも使っていた場合、攻撃者が同じ組み合わせでログインを試みる可能性があります。
このような攻撃は「リスト型攻撃」と呼ばれます。一度流出したメールアドレスとパスワードの組み合わせを使い、別のサービスにもログインできないか機械的に試す手口です。
そのため、対象サービスを使っていた可能性がある人は、メールのパスワードだけでなく、同じパスワードを使っている他のサービスも変更する必要があります。
特に、次のようなサービスで同じパスワードを使っている場合は、早めに変更しましょう。
大規模な情報漏えいのニュースが出ると、それに便乗したフィッシング詐欺が増えることがあります。
たとえば、「KDDIパスワード漏えいのため、今すぐ確認してください」「auアカウントが停止されます」「本人確認が必要です」などの文面で、偽サイトへ誘導するメールやSMSが届く可能性があります。
こうしたメールのリンクを開き、au ID、メールアドレス、パスワード、クレジットカード情報などを入力してしまうと、さらに被害が広がるおそれがあります。
特に注意したいのは、次のような文面です。
本当にパスワードを変更する場合は、メールやSMSに書かれたリンクを押すのではなく、自分で公式サイトを検索するか、普段使っている公式アプリやブックマークからアクセスするようにしましょう。
今回の漏えい対象かもしれない人は、まず慌てずに、次の対応を行いましょう。
特に重要なのは、パスワードを「サービスごとに別々」にすることです。すべてのサービスで異なるパスワードを覚えるのは大変ですが、パスワード管理アプリを使えば、安全性を高めながら管理しやすくなります。
今回のニュースを見て、「au IDやau PAYも危ないのでは?」と不安に思う人もいるでしょう。
現時点では、今回の問題は一部のプロバイダー向けメールシステムに関するものとされています。au IDやau PAYそのものが今回の漏えい対象として発表されているわけではありません。
ただし、もし対象メールサービスと同じパスワードをau IDやau PAYでも使っている場合は、別問題として注意が必要です。攻撃者が流出した可能性のあるメールアドレスとパスワードの組み合わせを使い、au IDなどへのログインを試みる可能性があるためです。
つまり、au IDやau PAYが直接漏えいしたという話ではなくても、パスワードの使い回しがある場合はリスクが高まるということです。
今回のような漏えい問題では、現在使っているメールアドレスだけでなく、過去に使っていたメールアドレスにも注意が必要です。
昔契約していたプロバイダーのメールアドレスを、通販サイトやSNSの登録に使ったまま放置している人は少なくありません。もしそのメールアドレスにアクセスできない状態になっていると、重要なお知らせや不正ログイン通知に気づけない可能性があります。
また、古いメールアドレスに古いパスワードを使っていた場合、そのパスワードを現在も別のサービスで使っていないか確認することが大切です。
「昔のメールだから関係ない」と思わず、過去に使っていたメールアドレスとパスワードの組み合わせを思い出し、同じものを現在のサービスで使っていないか見直しましょう。
不安になるニュースですが、焦って間違った行動をすると、かえって被害につながることがあります。
次のような行動は避けましょう。
特に、SNSでは「auユーザー全員が危険」「すぐに口座が乗っ取られる」「KDDIの全サービスが危ない」といった強い表現が拡散されることがあります。しかし、実際の対象範囲や危険度は、公式発表やサービスごとの案内を確認して判断する必要があります。
KDDIのパスワード漏えい問題は、一部のプロバイダー向けメールシステムへの不正アクセスが発端です。現時点では、au携帯電話ユーザー全員が一律に対象という話ではありません。
ただし、BIGLOBEメール、@niftyメール、J:COM NET、コミュファ光、ピカラ光、CPIなどのメールサービスを利用している人、または過去に利用していた人は、自分が対象に含まれる可能性がないか確認した方がよいでしょう。
また、今回の件で特に重要なのは、パスワードの使い回しをやめることです。対象メールサービスと同じパスワードを他のサービスでも使っている場合、メール以外のアカウントにまで被害が広がる可能性があります。
不安な場合は、メールやSMSのリンクを押すのではなく、公式サイトや公式アプリから情報を確認しましょう。パスワードの変更、使い回しの解消、二段階認証の設定を行うことで、不正ログインのリスクを大きく下げることができます。