KDDIは2026年6月23日、インターネットサービスプロバイダー(ISP)向けに提供しているメールシステムがサイバー攻撃を受けたことを公表した。第一報では、この基盤を利用する最大1422万件のメールアドレスやパスワードが漏洩した可能性があると説明された。
真の被害者はauユーザーではない
「KDDIが攻撃された」と聞くと、多くの人はauメールなどKDDIの利用者だけの問題だと思うかもしれない。しかし、今回攻撃を受けたのは、KDDI自身のメールサービスではなく、複数のISP事業者へ提供していた共通のメール基盤である。つまり、本当の被害者は、その基盤を利用していた各ISP(JCOMやニフティ、ビッグローブなど)の利用者なのである。この事件は、一企業の情報漏洩ではなく、多くの利用者が共通して利用する「社会インフラ」が狙われた事件として理解する必要がある。
漏洩したのはメールアドレスだけではない
メールを送受信するためには、単にメールサーバーがあればよいわけではない。メールアドレスの管理、利用者認証、メール送受信、Webメール、保存されたメールデータの管理など、多くの機能が連携して初めて1つのメールサービスが成り立っている。今回攻撃を受けたのは、そのすべてを一体として提供するメール基盤であった。
ゼロデイ攻撃だった…第二報で見えてきた被害の実態
神戸大学名誉教授の森井昌克氏は、第二報で「ゼロデイ攻撃」であることが判明したと指摘する。ゼロデイ攻撃とは、ソフトウェアの脆弱性が公表される前に悪用される攻撃であり、防御が極めて難しい。今回の攻撃では、メール基盤の認証システムに脆弱性があり、攻撃者がそれを突いて不正アクセスしたとみられる。漏洩したデータにはメールアドレスとパスワードが含まれ、これらは他のサービスへの不正ログインにも悪用される恐れがある。
すべてのシステムを自社開発する時代ではない
多くのISPは、自社でメールシステムを開発せず、KDDIのような事業者から提供される共通基盤を利用している。これはコスト効率が良い反面、一つの基盤が攻撃されると多数の事業者に影響が及ぶリスクを伴う。森井氏は「すべてのシステムを自社開発する時代ではない。しかし、サプライチェーン全体でのセキュリティ対策が不可欠だ」と述べている。
IIJでも起きていた同じような事件、メール基盤は「宝の山」
同様の事件は過去にも発生している。例えば、インターネットイニシアティブ(IIJ)でも、メール基盤を狙った攻撃が報告されている。森井氏は「メール基盤は、利用者の個人情報や認証情報が集積する『宝の山』だ。攻撃者にとっては非常に価値が高い」と警鐘を鳴らす。メールアドレスとパスワードが漏洩すると、それを基にフィッシング攻撃や他のサービスへの不正アクセスが行われる可能性がある。
2019年に発生したUNIQLO事件が示した現実
2019年には、ユニクロのオンラインストアでクレジットカード情報を含む約46万件の個人情報が漏洩した事件があった。この事件でも、第三者による不正アクセスが原因だった。森井氏は「情報漏洩は終わりではなく始まりである」と強調する。漏洩したデータはすぐに悪用されるとは限らず、数年後にフィッシングメールなどに使われることもある。被害者は長期間にわたって監視されるリスクを負う。
情報漏洩は終わりではなく始まりである
今回のKDDI事件では、漏洩したメールアドレスとパスワードを使って、他のWebサービスにログインしようとする試みが既に確認されている。利用者は、パスワードの変更や二段階認証の設定など、早急な対策が必要だ。また、ISP各社は利用者に対して注意喚起を行っている。



