KDDI、メールシステムへの不正アクセスで1223万件のメールアドレス流出
KDDI、1223万件のメールアドレス流出

KDDIは2023年7月6日、ISP事業者向けメールシステムへの不正アクセスにより、最大1223万3087件のメールアドレスと761万6173件のパスワードが流出したことを発表した。パスワード流出件数はメールアドレスの内数であり、パスワード単独での流出は確認されていない。

影響を受けたISP事業者とサービス

影響を受けたISP事業者およびサービスは以下の通り:STNet(ピカラ光サービス、ピカラモバイルサービス、お仕事ピカラサービス)、KDDIウェブコミュニケーションズ(レンタルサーバー「CPI」のメールサービス)、JCOM(J:COM NETおよびケーブルテレビ事業者向けメールサービス)、中部テレコミュニケーション(コミュファ光・ビジネスコミュファのメールサービス)、ニフティ(@niftyメール)、ビッグローブ(BIGLOBEメール)。

流出した情報の詳細

流出した情報はメールアドレス1223万3087件とパスワード761万6173件。パスワードの保存形式についてKDDIは公表しておらず、現時点では平文での流出かどうかは不明。一般的にパスワードはハッシュ化して保存されることが多い。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

原因はゼロデイ脆弱性

不正アクセスは、ISP事業者向けメールシステムに採用していたサードパーティーソフトウェアの脆弱性が原因。侵害は5月16日から始まり、6月17日に検出された。検出当日中に被害拡大防止のための改修作業が実施された。この脆弱性は検出当日までベンダーも把握しておらず、ゼロデイ脆弱性であったため、侵害自体を防ぐことは困難だったとみられる。一方、侵害開始から検出まで約1カ月を要したことから、検知体制の検証が求められる。

利用者への対策と再発防止策

影響を受けた顧客にはパスワード変更が推奨されている。KDDIおよびISP事業者は利用頻度の高い顧客にパスワード変更を要請し、利用頻度の低い顧客には強制的なパスワード変更を実施する。再発防止策として、エンドポイント検出応答(EDR)を導入し、不正アクセス検知を強化。今後はAIを使用した脆弱性検出や、セキュリティ強度の高い通信規格への移行を推進する予定。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ