KDDIサイバー攻撃、標的は第三者製ソフトのゼロデイ脆弱性
KDDI攻撃、第三者製ソフトのゼロデイ脆弱性が標的に

KDDIへのサイバー攻撃、その実態は?

2026年7月18日、KDDIが発表した第二報により、同社に対するサイバー攻撃の詳細が明らかになった。今回の事件で攻撃者が狙ったのは、KDDIが開発したメール基盤そのものではなく、その基盤内で利用されていた第三者製ソフトウェアの脆弱性だった。

神戸大学名誉教授の森井昌克氏によれば、この脆弱性はソフトウェア開発会社自身も認識していない未知の弱点であり、修正プログラムが配布される前の段階で攻撃が行われる「ゼロデイ攻撃」だったという。そのため、KDDI側が「パッチを当てていなかった」ために攻撃されたわけではなく、どれほど運用を徹底していても防ぐことが極めて難しい種類の攻撃だった。

第三者のソフトウェア部品が引き起こすリスク

現在の大規模システムは、多数の部品を組み合わせて構築されている。自社開発のプログラムだけでなく、オープンソースソフトウェアや他社製ライブラリ、市販製品などが数多く組み込まれており、システム全体の構成管理が極めて重要になっている。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

近年、この考え方として注目されているのがSBOM(Software Bill of Materials)である。SBOMはソフトウェア版の「部品表」とも呼ばれ、どの製品にどの部品が使われているかを一覧化する仕組みだ。KDDIは問題を確認すると直ちに該当ソフトウェアの開発会社と連携し、原因究明と対策を進めた。この迅速な対応は、SBOMをはじめとするソフトウェア構成管理の重要性を改めて示す事例となった。

過去にも類似事件:IIJでの事例

同様の事件は過去にも発生している。インターネットイニシアティブ(IIJ)でも、メール基盤を狙った攻撃が確認されており、メールシステムは攻撃者にとって「宝の山」とも言える貴重な情報が詰まった標的であることが浮き彫りになっている。

メールアドレスとパスワードの流出は、個人情報漏洩だけでなく、他のサービスへの不正アクセスやフィッシング詐欺など二次被害を引き起こす可能性があり、その怖さは計り知れない。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ