KDDIに対するサイバー攻撃により、約1223万件のメールアドレスが漏洩し、うち約761万件ではパスワードも流出したことが明らかになった。神戸大学名誉教授の森井昌克氏は、本件を「共通エンジン」を狙った攻撃であり、複数のISPに同時に被害が及んだ点が特徴的だと指摘する。
攻撃の背景と「共通エンジン」の危険性
KDDIのメールシステムは、複数のISP(インターネットサービスプロバイダ)が共通して利用する基盤として機能していた。つまり、一つのシステムが複数のISPのメールサービスを支える「共通エンジン」の役割を果たしていたのである。そのため、一度侵害されると、1社だけではなく複数のISPへ同時に被害が広がる結果となった。
この構造は、効率的である一方、セキュリティ上の単一障害点(SPOF)となり得る。攻撃者がこの共通エンジンに侵入できれば、複数のサービスに一度にアクセスできるため、被害が甚大化するリスクがある。
第一報で気になるパスワード表現
KDDIが最初に公表した第一報では、「パスワードには、ハッシュ化・暗号化されたものも含みます。」と説明されていた。一見すると何気ない文章だが、セキュリティの専門家にとっては非常に気になる表現だったと森井氏は述べる。
通常、メールシステムではパスワードはハッシュ化して保存される。ハッシュ化とは、一方向の計算によって元の文字列へ戻せないよう加工する方法であり、仮にデータベースが漏洩しても元のパスワードを知ることは極めて困難である。一方、暗号化は復号鍵があれば元に戻せる方式であり、用途によって利用されることもある。しかし、「ハッシュ化・暗号化されたものも含みます」という表現は、その裏を返せば、それ以外の形式で保存されていたパスワードが存在した可能性も否定していないことになる。
もちろん、これだけで入力した文字がそのまま保存される平文保存だったと断定することはできない。しかし、この一文が多くの専門家の関心を集めた理由でもある。
第二報で判明した被害の実態
その後、7月6日に公表された第二報では、影響範囲がさらに明らかになった。漏洩が確認されたメールアドレスは約1223万件、そのうち約761万件はパスワードも漏洩していたという。さらに、本攻撃が「ゼロデイ攻撃」であったことも判明した。
ゼロデイ攻撃とは、ソフトウェアの脆弱性が公表される前に、その脆弱性を悪用して行われる攻撃である。このため、KDDI側も事前に防御策を講じることができず、被害が拡大したと考えられる。
ISPごとの被害の差
興味深いのは、すべてのISPが同じ被害を受けたわけではなかったことである。STNet、ビッグローブ、中部テレコミュニケーション、ニフティでは、メールアドレスだけでなくパスワードも大量に漏洩していた。一方、JCOMやKDDIウェブコミュニケーションズでは、メールアドレスの漏洩が中心であり、パスワード漏洩は極めて限定的だった。
これは、同じメール基盤を利用していても、各社ごとの運用方法や認証情報の管理方法に違いがあった可能性を示している。例えば、パスワードの保存方式やアクセス制御の設定が異なっていた可能性がある。
パスワード漏洩の本当の怖さ
メールアドレスとパスワードが漏洩した場合、特に危険なのは、多くのユーザーが他のサービスでも同じパスワードを使い回していることだ。攻撃者は漏洩した情報を使って、他のWebサービスへの不正ログインを試みる「リスト型攻撃」を行う可能性が高い。
また、メールアカウントはパスワードリセット機能の入り口となるため、乗っ取られると他のアカウントも次々に乗っ取られる危険性がある。森井氏は、ユーザーに対してパスワードの使い回しを避け、可能であれば二要素認証を有効にするよう呼びかけている。
今後の課題と対策
本件は、企業がシステムを内製化せずに外部の共通基盤を利用する場合のリスクを浮き彫りにした。すべてのシステムを自社開発する時代ではないが、サプライチェーン全体でのセキュリティ対策が不可欠である。
KDDIは、被害を受けたユーザーに対してパスワードの変更を促すとともに、再発防止策としてシステムの脆弱性対策や監視体制の強化を進めるとしている。しかし、一度漏洩した情報は完全に回収することは難しく、長期的な監視とユーザーへの啓発が求められる。



