本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
KDDIがISP事業者向けに提供するメールシステムへの不正アクセスで、メールアドレスとパスワードが最大1422万件漏えいした可能性がある問題を巡り、総務省は6月24日に報告を求め、林芳正総務相は26日「大変遺憾だ」と述べた。
複数のメールサービスに及ぶ影響
KDDIは6月17日に不正アクセスを確認し、6月23日に公表した。同社はシステムに関する技術的な防御措置は実施済みだと説明する一方、第三者がメールアドレスとパスワードを不正に取得した可能性があるとしている。
影響は単一のメールサービスに限られない。KDDIがISP事業者向けに提供する共通基盤が不正アクセスを受けたため、6社のメールサービスにひもづくアカウントへ波及しうる構図だ。KDDIウェブコミュニケーションズも、同社のCPIメールサービス利用者について、提供元であるKDDIのシステム不正アクセスの影響でメールアドレスとパスワードが漏えいした可能性があると案内している。
公表資料で示された範囲では、漏えいした可能性がある情報の中心はメール本文ではなく、メールボックスにひもづくメールアドレスとパスワードの組み合わせだ。KDDIウェブコミュニケーションズは、その他の影響範囲については引き続き調査中としている。パスワードが他のサービスでも使い回されている場合、別のサイトへの不正ログインにつながるおそれがあるため、利用者対応では認証情報の管理が重要になる。
焦点は実害確認と再発防止策
最大1422万件のうち、実際に外部取得された件数や、不正利用などの二次被害の有無は明らかになっていない。今後は対象利用者への通知、パスワード変更や再設定の促進、同じパスワードを使う他サービスへの注意喚起が焦点となる。
総務省による報告徴求は、事業者に発生原因、影響範囲、利用者対応、再発防止策の説明を求める行政手続きだ。KDDIは個人情報保護委員会と総務省に関係法令などに基づく報告を行ったとしている。林芳正総務相は26日の閣議後記者会見で「利用者に多大な影響を及ぼす事態になったことは大変遺憾だ」と述べ、二次被害防止に関わる対応が重要だとの認識を示した。
KDDIが6月17日に被害を確認しながら対外発表が23日になった点について、林氏は、漏えいの可能性を確認した後に技術的措置を実施し、プロバイダー各社と連携して対応を準備したとの説明がKDDIからあったと明らかにした。今後は技術的対策だけでなく、影響範囲の確定と利用者への説明責任、再発防止策の具体性が問われる。
