KDDIは7月6日、「(PDF) ISP 事業者向けメールシステムに対する不正アクセスについての お詫びとご報告」において、メールシステムへの不正アクセスにより1223万件のメールアドレスと、761万件のパスワードが流出したと発表した。

  • メールサービスへの不正アクセスにより、複数のISP向けメールシステムで情報流出が発生した(写真はイメージ)Photo:PIXTA

    メールサービスへの不正アクセスにより、複数のISP向けメールシステムで情報流出が発生した(写真はイメージ)Photo:PIXTA

影響を受けるメールサービス

影響を受けたISP事業者およびサービスは次のとおり(参考:「(PDF) ISP 事業者向けメールシステムに対する不正アクセスの発生について」)。

  • STNet - 「ピカラ光サービス」、「ピカラモバイルサービス」、「お仕事ピカラサービス」のメールサービス
  • KDDIウェブコミュニケーションズ - レンタルサーバー「CPI」のメールサービス
  • JCOM - 「J:COM NET」およびケーブルテレビ事業者向けメールサービス
  • 中部テレコミュニケーション - コミュファ光・ビジネスコミュファのメールサービス
  • ニフティ - @niftyメール
  • ビッグローブ - BIGLOBEメール

KDDIのモバイルおよび固定インターネットサービスのメールサービス(auメール、UQ mobileメール、au one netメール)は設備が異なるため、本事案の影響は受けないとされる。

流出した情報と件数

発表時点までの調査で明らかになった流出情報および件数は次のとおり。

  • メールアドレス - 1223万3087件
  • パスワード - 761万6173件

パスワード流出件数は「メールアドレスの内数」とされ、パスワード単独での流出は確認されていない。パスワードの保存形式についてKDDIは公表していない。一般的にはパスワードはハッシュ化して保存されることが多く、現時点では流出したデータが平文だったかどうかは明らかになっていない。

ゼロデイ脆弱性による不正アクセス

不正アクセスは、「ISP事業者向けに提供しているメールシステム」に採用していたサードパーティーソフトウェアの脆弱性が原因とされる。侵害は5月16日からはじまり、6月17日に不正アクセスを検出。検出した当日中に、被害拡大を防止する改修作業が実施された。

サードパーティーソフトウェアから発見された脆弱性は、検出当日までベンダーを含め把握できていなかったとされる。つまり、ゼロデイ脆弱性が原因だったことから、侵害自体を防ぐことは容易ではなかったとみられる。一方で、侵害の開始から検知まで約1カ月を要しており、検知体制については今後の検証が求められる。

利用者が取るべき対策

このインシデントの影響を受けた顧客にはパスワードの変更が推奨されている。KDDIおよびISP事業者は利用頻度の高い顧客に対してパスワードの変更を要請し、利用頻度の低い顧客に対しては強制的なパスワードの変更を実施する。

KDDIは再発防止策として、エンドポイント検出応答(EDR: Endpoint Detection and Response)を導入し、不正アクセス検知を強化したと発表。また、今後の対策としてAIを使用した潜在的な不具合および脆弱性の検出、セキュリティ強度の高い通信規格への移行を推進する予定としている。