クラウドサービス
2026年07月07日

STNetが「ピカラ光サービス」などメールサービスの不正アクセスを公表——約45万件のパスワードが漏えい、KDDI基盤の脆弱性が原因

STNetが「ピカラ光サービス」などメールサービスの不正アクセスを公表——約45万件のパスワードが漏えい、KDDI基盤の脆弱性が原因

STNetが「ピカラ光サービス」などメールサービスの不正アクセスを公表——約45万件のパスワードが漏えい、KDDI基盤の脆弱性が原因(写真はイメージ)

四国電力グループの通信事業者・株式会社STNetは、2026年7月6日、同社が提供するメールサービスへの不正アクセス事案について詳細な続報を公表しました。KDDIが提供するインターネットサービスプロバイダー向けメールシステムの脆弱性を悪用された結果、STNetの「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」利用者について、お客さま397,152名分、メールアドレスとパスワード456,159件の漏えいが確認されたと明らかにしています。同社は既にお客さまへの個別通知と、期限までに対応がなかったユーザーへの「パスワード強制変更」を進めています。

事案の経緯——KDDIから6月20日に報告、対象期間は6月14〜17日

STNetの発表によれば、時系列は次のとおりです。KDDIから6月20日に「不正アクセスおよびSTNet顧客のメールアドレス・パスワードが漏えいした可能性がある」旨の報告を受け、その後の調査で被害が確定しました。STNetの情報に対する不正アクセスは、2026年6月14日から17日の間に発生していたとされています。

KDDI側は、6月17日に不正アクセスを確認し、同日中に被害拡大を防止するためのシステム改修を実施。6月21日には外部からの不正アクセスをリアルタイムで検知・対応するセキュリティシステムを導入し、監視体制を強化したと説明されています。専門事業者による調査の結果、6月17日のシステム改修以降、同様の不正アクセスの痕跡は確認されていないとしています。

原因——KDDI基盤が導入していた第三者製ソフトウェアの脆弱性

STNetは今回の直接の原因として、KDDIが本システムの一部として導入していた第三者製ソフトウェアの脆弱性を悪用されたことを明示しています。STNet自身のサービスに直接侵入されたのではなく、KDDIが提供する共通のメール基盤側で発生した事案です。同基盤を利用する他のISP事業者にも共通の影響が及ぶ構造で、STNetの被害はこの共通基盤事案の一部として位置付けられます。

STNetは、KDDIにおける再発防止策の実施状況を確認・精査するとともに、KDDIと連携してセキュリティ管理および監査体制の強化を図り、お客さま情報の適切な管理の徹底と再発防止に努めるとしています。

漏えい情報の内訳——お客さま数と件数の関係

漏えいが確認された情報は、メールアドレスとメールアドレスのパスワードです。件数は以下のとおりです。

  • お客さま数:397,152名
  • メールアドレスとメールアドレスのパスワード数:456,159件

法人のお客さまも件数に含まれる点、および1人の利用者が複数のメールアドレスを取得している場合があることから、お客さま数よりメールアドレス・パスワード数のほうが多くなっている、と補足されています。個人利用と法人利用が混在する形でパスワードが流出しているため、情シス部門としては「うちの社員がピカラ光サービスを個人契約で使っていないか」も含めた広めの棚卸しが必要になりそうです。

STNetの対応——個別通知と「パスワード強制変更」

STNetは対象のお客さまに対し、個別にメールまたは書面で「メールアドレスのパスワード変更」の案内を送付しています。案内された変更期限までに自分でパスワードを変更しなかったお客さまについては、STNet側で「パスワードの強制変更」を実施し、一両日中を目途に完了する見込みだと説明しています(既に自分で変更済みの場合は対象外)。

「ピカラ光サービス」で強制変更の対象になったお客さまには、順次郵送で「新しいパスワード」が案内される運用で、急ぐ場合はSTNetホームページ経由での申込も可能とされています。パスワード変更に関する問い合わせ窓口として、特設コールセンター「0800-777-2100」(9:00〜20:00、平日・土日祝)も設置されています。強制変更に伴い、パソコンやスマートフォンでメールソフト・アプリを利用中の場合は、利用者側で新しいパスワードへの設定変更が必要になります。

利用者・企業ユーザーが取るべき対応

STNetのメールサービスを個人・法人問わず利用している場合、対応の基本は以下の3点にまとめられます。1つ目は、STNetから届いたパスワード変更案内に沿って自分でパスワードを更新することです。2つ目は、メールソフトやスマートフォンアプリで自動ログインを設定している場合、新しいパスワードへの再設定を漏らさず行うことです。3つ目は、STNetのメールパスワードを他のサービスで使い回している場合、他サービスのパスワードも早急に更新することです。

法人ユーザーで、社員が「お仕事ピカラサービス」などを業務利用しているケースでは、社内のヘルプデスクへの問い合わせ増加や、業務メールの一時的な受信不能が発生する可能性があります。あわせて、パスワード再登録が必要になるモバイル端末・複合機・スキャナからのメール送信設定など、周辺機器側の設定見直しも忘れないよう社内周知しておくと安心です。

ITトレンドでメールセキュリティ対策についてチェック![【2026年】メールセキュリティソフト13選比較!ランキング・おすすめ製品も紹介]

まとめ

今回のSTNet発表は、KDDIが提供するISP向けメール基盤の脆弱性を突かれた事案の一環として、STNet利用者に関する被害内容を具体的な件数と対応策の形でまとめたものです。ピカラ光サービス・ピカラモバイルサービス・お仕事ピカラサービスの利用者は、STNetからの個別案内を確認し、期限内のパスワード変更、あるいは強制変更後の設定切り替えを速やかに進めることが求められます。

事案の全体像はKDDIが提供する共通基盤で発生している構造であり、STNet以外のISP利用者にも同様の対応が求められている状況です。個人利用・法人利用の垣根なくパスワードが漏えいしている点を踏まえると、まずは自身と組織で該当メールサービスの利用有無を洗い出し、対象があれば早期対応、対象がなくても「パスワード使い回し」棚卸しの機会として活用するのが実務的な向き合い方になりそうです。

top遷移画像

Copyright (C) 2026 IT Trend All Rights Reserved.