メールアドレスとパスワードの漏えい可能性が公表された場合、最初に行うべきことは「パスワードを変えること」だけではありません。
もちろん、対象となるメールアカウントのパスワード変更は重要です。しかし、業務で使っているメールは、他のサービスのパスワード再設定、取引先との連絡、請求書や見積書の送受信、社内外の機密情報のやり取りにも使われています。
そのため、メールアカウントの認証情報が漏えいした可能性がある場合は、メールを起点に他のサービスへ被害が広がらないかを確認する必要があります。
2026年6月23日、KDDIは、ISP事業者向けに提供するメールシステムに対する不正アクセスについて公表しました。KDDIの発表によると、2026年6月17日に不正アクセスを確認し、調査の結果、第三者製ソフトウェアの脆弱性が悪用され、メールサービスの利用に必要なメール関連情報が漏えいした可能性があるとされています。漏えいした可能性のある情報は、メールボックスに紐づくメールアドレス・パスワード最大1,422万件で、解約済みや一定期間利用のない休眠アカウントも含むとされています。
対象として公表されているメールサービスには、ピカラ光関連のメールサービス、レンタルサーバー「CPI」のメールサービス、J:COM NET関連のメールサービス、コミュファ光・ビジネスコミュファのメールサービス、@niftyメール、BIGLOBEメールが含まれています。
ここで注意したいのは、「自社のメールサーバーが直接攻撃されたわけではないから関係ない」とは限らない点です。会社の代表メール、担当者個人の業務用メール、問い合わせ用メール、古くから使っているプロバイダメールなどが対象サービスに含まれていれば、業務上のリスクとして扱う必要があります。
まず確認することは「対象メールを使っているか」
最初に、自社で使っているメールアドレスを一覧にします。確認対象は、現在よく使っているメールだけではありません。
特に確認したいのは、次のようなメールアドレスです。
- 代表メール
- 問い合わせ用メール
- 請求書や見積書の送受信用メール
- ネットショップ、予約サイト、クラウドサービスの登録メール
- レンタルサーバーやドメイン管理の連絡先メール
- 社長や経理担当者が昔から使っているプロバイダメール
- 退職者が使っていたメール
- 使っていないが残っているメールボックス
KDDIの発表では、解約済みの利用者や、一定期間利用のない休眠利用者も対象件数に含まれるとされています。
そのため、「今は使っていないから大丈夫」と決めつけず、過去に業務で使っていたメールアドレスも確認してください。
パスワード変更は「メールだけ」で終わらせない
対象メールを使っている可能性がある場合は、まず各ISP事業者やサービス提供元の公式案内を確認し、案内に従ってメールパスワードを変更します。KDDIも、メールアドレスおよびパスワードが第三者に不正取得されている可能性があるため、利用者側でメールパスワードの変更が必要だと説明しています。
ただし、問題はここで終わりません。
同じパスワードを他のサービスでも使っていた場合、そのサービスにも不正ログインされるおそれがあります。IPAは、不正ログイン対策として、パスワードを長く複雑にし、複数サービス間で使い回さないこと、さらに多要素認証を設定することを推奨しています。
特に中小企業では、次のようなサービスで同じ、または似たパスワードが使われていないか確認してください。
- Microsoft 365、Google Workspaceなどのクラウドサービス
- 会計ソフト、給与ソフト、勤怠管理システム
- ネットバンキング、法人カード、決済サービス
- ECサイト、予約サイト、CMS、WordPress
- レンタルサーバー、ドメイン管理、DNS管理
- VPN、リモートデスクトップ、NAS、ルーター管理画面
- SNS、広告管理画面、LINE公式アカウント
- 取引先の受発注システム
「メールのパスワードだけを変えたから完了」ではなく、同じパスワードを使っていた可能性のあるサービスを洗い出し、すべて別のパスワードに変更することが重要です。
JPCERT/CCも、複数のインターネットサービスを安全に使うには異なるパスワードを設定する必要があり、そのための管理方法として、紙での管理、パスワード付き電子ファイル、パスワード管理ツールなどを例示しています。
メールボックスの中も確認する
パスワードを変更した後は、メールボックスの中も確認します。理由は、メールアカウントに第三者がログインできた場合、パスワード変更だけでは見落とす設定が残っていることがあるためです。
確認したい項目は、次のとおりです。
- 見覚えのない転送設定がないか
- 知らないフィルタや振り分けルールがないか
- 送信済みメールに不審なメールがないか
- 削除済みメールに不審な痕跡がないか
- パスワード再設定メールや認証コードのメールが届いていないか
- 登録済みの連絡先、署名、自動返信が変更されていないか
- ログイン履歴を確認できる場合、見覚えのない日時や地域からのログインがないか
Microsoftは、侵害されたメールアカウントの症状として、不審な受信トレイルール、不明なアドレスへの自動転送、送信済み・削除済みフォルダー内の疑わしいメッセージ、最近追加された外部メール転送などを挙げています。
Microsoft 365に限らず、Webメールやクラウドメールを業務で利用している場合は、同じ観点で確認することが有効です。
特に、外部への自動転送は注意が必要です。Microsoftは、外部受信者への自動転送について、情報が開示される可能性があり、攻撃者が組織やパートナーを攻撃するために利用する可能性があると説明しています。
共有メールと退職者アカウントを見落とさない
中小企業で見落とされやすいのが、共有メールと退職者アカウントです。
たとえば、info@、sales@、support@、order@、keiri@ のようなメールアドレスは、複数人で長期間使われていることがあります。パスワードも昔から変わっておらず、誰が知っているのか分からない状態になっていることがあります。
このような共有メールでは、次の点を確認してください。
- 現在そのメールを使っている人は誰か
- 退職者や異動者がパスワードを知っていないか
- 外部委託先や制作会社がパスワードを持っていないか
- メールソフトにパスワードが保存されたままの古いPCがないか
- スマートフォンやタブレットに設定が残っていないか
- パスワード変更後、不要な端末から接続できない状態になっているか
退職者アカウントや休眠メールボックスについては、業務上不要であれば削除または停止します。必要がある場合でも、パスワードを変更し、利用者と用途を明確にしておくべきです。
不審な送信があった場合は、取引先対応も必要
メールアカウントが不正利用された可能性がある場合、自社だけで完結しないことがあります。攻撃者がそのメールアドレスを使って、取引先に偽の請求書、振込先変更依頼、マルウェア付き添付ファイル、フィッシングメールを送っている可能性があるためです。
送信済みメールやログに不審な内容がある場合は、次の対応を検討します。
- 該当メールアカウントの利用を一時停止する
- 関係する取引先へ、電話などメール以外の手段で確認する
- 不審メールを開かないよう注意喚起する
- 振込先変更や請求内容変更があった場合は、必ず別経路で確認する
- 被害範囲、時系列、対応内容を記録する
- 必要に応じて、サービス提供事業者、専門家、関係機関へ相談する
この段階で重要なのは、慌てて一斉メールだけで注意喚起しないことです。メールアカウント自体が悪用されている可能性がある場合、同じメール経路で連絡しても信用されにくく、かえって混乱することがあります。
今回を機に決めておきたい社内ルール
メールアドレスとパスワードの漏えい可能性が公表された時、毎回その場で対応を考えていると、対応漏れが起きやすくなります。今回のような事案を機に、次のルールを決めておくことをおすすめします。
- 業務で使うメールアドレスの一覧を作る
- メールパスワードの管理者を決める
- 共有メールの利用者を記録する
- 退職者や異動者が出た時は、共有メールのパスワードを変更する
- 同じパスワードを複数サービスで使わない
- 多要素認証を利用できるサービスでは有効化する
- メール転送設定を定期的に確認する
- 古いメールボックスや不要なメールアドレスを放置しない
- パスワード変更時の記録を残す
IPAは、IDとパスワードを知られた場合、不正ログインにより個人情報漏えいや金銭被害などに遭うおそれがあると説明しています。
メールアカウントは、単なる連絡手段ではなく、他のサービスの入口にもなります。だからこそ、メールのパスワード漏えい可能性がある時は、メールそのものだけでなく、会社全体のアカウント管理を見直すきっかけにすることが大切です。
まとめ
メールアドレスとパスワードの漏えい可能性が公表された場合、中小企業が最初に確認すべきことは次の5つです。
- 自社で対象メールを使っていないか確認する
- 対象メールのパスワードを公式案内に従って変更する
- 同じパスワードを使っていた他サービスを洗い出して変更する
- メールの転送設定、フィルタ、送信済みメール、ログイン履歴を確認する
- 共有メール、退職者アカウント、休眠メールボックスを整理する
「メールのパスワードを変えたから終わり」ではなく、メールを起点にどこまで業務システムへ影響が広がるかを確認することが重要です。
ライトハウスコンサルタントでは、中小企業向けに、メールアカウント、クラウドサービス、退職者アカウント、パスワード管理などの点検支援を行っています。自社でどこから確認すればよいか分からない場合は、まずは利用中のメールアドレス一覧を作るところから始めてください。