2026/06/24 17:40  
日本電信業者KDDI爆出資安危機。（彭博）
〔記者邱巧貞／台北報導〕日本電信業者KDDI於23日宣布，旗下提供給全國「網際網路服務供應商」（Internet Service Provider，ISP）的共用郵件系統遭到未經授權存取，最多可能有1422萬筆電子郵件地址及密碼恐外洩，受影響對象不僅包含現有用戶，也涵蓋已解約及長期未使用的休眠帳號。
此次發生資安事件的業者KDDI，為日本三大電信集團之一，旗下擁有「au」及「UQ Mobile」等行動通訊品牌。由於au網路是日本主要行動通訊網路之一，亦為許多台灣旅客赴日使用SIM卡、eSIM及國際漫遊服務時常見的合作網路，因此此次事件也受到台灣消費者關注。
由於KDDI不僅是日本主要電信基礎設施提供者，其網路服務亦與眾多ISP及郵件服務商共用，因此郵件系統遭入侵的消息一出，立即引發日本資安市場高度關注。
KDDI表示，公司於6月17日發現郵件系統遭未經授權存取，經調查後確認，攻擊者利用第三方軟體的安全漏洞入侵系統。事件發生當天，公司已完成系統修補作業，並針對可疑區域實施技術性防護措施，以防止損害進一步擴大。
根據KDDI說明，可能遭外洩的資料包括郵件系統帳號所對應的電子郵件地址與密碼，總數最多達1422萬筆，其中部分密碼雖已採用雜湊（Hash）或加密方式儲存，但仍無法完全排除遭第三方取得的可能性。
值得注意的是，此次統計數字不僅包含目前仍在使用中的帳號，也涵蓋過去已終止服務的用戶，以及長期未登入的休眠帳號，因此影響範圍相當廣泛。
本次事件受影響範圍涵蓋日本6家ISP及相關服務業者，包括STNet旗下「Pikara光纖服務」、「Pikara Mobile」及「お仕事ピカラ」；NIFTY的「@nifty Mail」、BIGLOBE的「BIGLOBE Mail」、JCOM的「J:COM NET」及有線電視業者郵件服務、KDDI Web Communications提供的CPI租用主機服務，以及中部電信（Chubu Telecommunications）旗下「Commufa光纖」與企業通訊服務「Business Commufa」等。
KDDI表示，自6月17日起已陸續通知受影響ISP業者，並與各業者共同研議後續因應措施，同時也已依規定通報並進行諮詢，雖然系統面的技術防護措施已完成，但由於不排除第三方已取得部分帳號與密碼資料，呼籲所有受影響用戶儘速變更密碼，並確認各ISP發布的最新公告，以降低未來遭到帳號盜用或非法登入的風險。
根據日本媒體報導，此次事件的特殊之處在於，遭攻擊的並非單一ISP，而是KDDI提供給多家業者共用的郵件基礎設施，屬於典型的「供應鏈資安事件」，單一系統漏洞即可能影響多家服務商與上千萬用戶，也再次凸顯第三方軟體漏洞管理與郵件系統安全的重要性。
KDDI雖表示，目前已鎖定問題點並完成相關技術性防禦措施，入侵途徑已遭封堵，然而，第三方軟體漏洞是本次事件的根本原因，也再次凸顯當代企業在供應鏈管理與軟體安全治理上面臨的結構性挑戰。