セキュリティニュース

STNetに不正アクセス、ピカラのメール認証情報漏えいの恐れ 全利用者にパスワード変更を要請


STNet(香川県高松市)は、同社が運営する「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」の各メールサービスで不正アクセスが発生し、利用者のメールアドレスとパスワードが外部に漏えいした可能性があると公表した。同社は対象となる全利用者に対し、至急パスワードを変更するよう要請するとともに、変更が確認できない利用者についてはSTNet側でパスワードを順次強制変更する措置を実施するとしている。四国電力グループの同社は2026年6月23日に報道発表資料を公表し、ピカラのお知らせページでは6月24日に第一報を掲載、7月1日に情報を更新した。

【重要】不正アクセス発生に関するお詫びと、パスワード変更のお願いについて | 2026年 | お知らせ | 【公式】ピカラ(Pikara) - 徳島・香川・愛媛・高知のインターネット回線・光回線
【重要】不正アクセス発生に関するお詫びと、パスワード変更のお願いについて | 2026年 | お知らせ | 【公式】ピカラ(Pikara) – 徳島・香川・愛媛・高知のインターネット回線・光回線より引用

3行要約

◆ 何が起きた:ピカラ光・ピカラモバイル・お仕事ピカラの3つのメールサービスで不正アクセスが発生し、メールアドレスとパスワードが外部に漏えいした可能性が判明した。KDDIは第三者製ソフトウェアの脆弱性悪用が原因と説明している。

◆ 影響:現行のパスワードを使い続けた場合、個人情報の流出やサービスの不正利用など二次被害が生じる恐れがある。

◆ 対応:全利用者にパスワード変更を要請。未対応者にはSTNetが強制変更を実施し、特設コールセンターを臨時開設した。

わかっていること/わかっていないこと

わかっていること

対象は「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」の各メールサービス。漏えいした可能性がある情報は利用者のメールアドレスおよびパスワード。STNetは2026年6月23日に報道発表資料を公表し、ピカラのお知らせページには6月24日に第一報を掲載、7月1日に更新している。STNetの発表が参照するKDDI公式発表によれば、KDDIは2026年6月17日に事象を確認し、原因は第三者製ソフトウェアの脆弱性悪用と説明している。KDDIは個人情報保護委員会および総務省への報告・相談を含む対応を進めているとしている。パスワードを変更していない利用者に対しては、STNet側で順次強制変更を実施する方針だ。

わかっていないこと

STNet利用者のうち具体的に何名が対象となるのか、認証情報の悪用による実被害の有無は現時点で明らかになっていない。悪用された第三者製ソフトウェアの具体的な脆弱性名(CVE番号等)、警察への相談状況についても公表されていない。また、STNet固有の検知経緯や個別の初動対応の詳細にも言及はない。

公表の経緯

STNetは2026年6月23日、ピカラの各メールサービスで認証情報が外部に漏えいした可能性があるとして、報道発表資料を公表した。ピカラのお知らせページには翌6月24日に謝罪文と注意喚起を掲載。7月1日には同ページを更新し、パスワード変更の呼びかけを改めて強調している。同社は「大切な個人情報の漏えいや、身に覚えのないサービスの不正利用など、重大な被害に繋がる恐れがある」と警告した。

「現在のパスワードを継続してご利用された場合、お客さまの大切な個人情報の漏えいや、身に覚えのないサービスの不正利用など、重大な被害に繋がる恐れがございます」(STNetの発表より)

同社の対応

STNetは対象となる全利用者に対し、至急パスワードを変更するよう呼びかけている。変更されていない利用者については、被害の未然防止のための予防措置として、同社側で順次パスワードを強制的に変更するとしている。

問い合わせ窓口として、特設コールセンター(電話0800-777-2100)を臨時開設した。受付時間は平日午前9時から午後6時、土日祝は午前9時から午後5時。

同社はパスワード変更時の留意点として、他のサイトやサービスと同じパスワードを使い回さないこと、氏名や生年月日、電話番号など第三者が推測しやすい文字列を避けることを呼びかけている。

背景

STNetは四国電力グループの情報通信事業者で、「ピカラ」の名称で四国地方を中心に光回線、モバイル、法人向けサービスを展開している。今回の事象はKDDIのメールシステム側で発生したもので、STNetの発表もKDDI公式発表を参照する形となっている。認証情報の流出はメールサービス単体にとどまらず、パスワードを使い回している別サービスへの被害波及も懸念される。同社が「使い回し」を強く戒めているのは、こうした連鎖被害を防ぐ狙いとみられる。

タイムライン

2026年6月17日 KDDIが第三者製ソフトウェアの脆弱性悪用による事象を確認(KDDI発表)

2026年6月23日 STNetが報道発表資料を公表

2026年6月24日 ピカラのお知らせページで第一報を掲載

2026年7月1日 ピカラのお知らせページを更新し、パスワード変更の呼びかけを再周知

個人情報保護委員会・総務省への報告・相談:KDDIが対応中と公表

警察への相談時期:公表なし

ページトップへ戻る
×