本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
KDDIは6月23日、ISP事業者向けメールシステムへの不正アクセスにより、提供先6社のメールサービスで作成されたメールボックスに紐づくメールアドレス・パスワードが最大1422万件、外部に漏えいした可能性があると発表した。漏えい確認件数ではなく、調査継続中の最大値として示された規模だ。
対象は6社、メールアドレス・パスワードが対象
対象となったのは、KDDIがインターネットサービスプロバイダー(ISP)事業者向けに提供するメールシステムである。影響を受けるのは、STNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブの6社が提供するメールサービスだ。
漏えいした可能性があるのは、各メールサービスで作成されたメールボックスに紐づくメールアドレス・パスワードで、解約済みの利用者や一定期間利用のない休眠利用者も含まれる。パスワードには、ハッシュ化・暗号化されたものも含まれる。KDDIの全契約者情報が一律に対象となる事案ではない。
第三者製ソフトウェアの脆弱性を悪用
KDDIは6月17日、同システムが不正アクセスを受けていたことを確認した。同日、被害拡大を防ぐためシステムを改修し、不正アクセスの被疑箇所を特定して技術的な防御措置を実施した。調査の結果、同システムで利用していた第三者製ソフトウェアの脆弱性が悪用されたことが判明したという。
KDDIは、関係法令に基づき個人情報保護委員会や総務省への報告・相談を含む対応を進めている。技術的な防御措置は実施済みだが、メールアドレスとパスワードが第三者に不正取得されている可能性があるとして、利用者にはISP事業者から提供される情報を確認し、早急にメールパスワードを変更するよう求めている。
一方、メール本文、氏名や住所などの契約者属性、通信ログなどが対象情報に含まれるとは、KDDIの発表では示されていない。今後は、実際の悪用や二次被害の有無、利用者への周知状況、影響範囲の確定、再発防止策の追加公表が焦点となる。
