プロバイダー向け基盤で被害判明
KDDIは6月23日、インターネット接続事業者向けに提供しているメールシステムが不正アクセスを受けたと発表した。漏洩した疑いがある情報は最大1422万件に上り、メールアドレスやパスワードが含まれる。メール本文が外部から閲覧された恐れもあり、対象サービスの利用者に対して早期の対応が求められている。
被害が確認されたのは、KDDIが外部のプロバイダー6社に提供しているメール関連システムである。対象となる事業者は、STNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブである。KDDI本体のメールサービスは別の基盤で運用されており、今回の不正アクセスによる影響は出ていない。
最大1422万件の情報流出疑い
現時点で確認されているのは、対象メールサービスで作成されたメールボックスに紐づくメールアドレスとパスワードの流出である。これにより、第三者がメールボックスへログインできる状態になっていたとみられる。KDDIは、メールの不正閲覧や送信機能の悪用につながる恐れがあるとしている。
情報が不正に取得された可能性があるため、KDDIは各プロバイダーを通じて利用者にパスワード変更を呼びかけている。ニフティとビッグローブについては、近く現在のパスワードを無効化する方針も示されている。利用者側の対応を進めることで、さらなる被害の拡大を防ぐ狙いがある。
脆弱性悪用受け同日中に改修
KDDIは6月17日に不正アクセスを把握し、同じ日にシステム改修を実施した。原因については、システムに採用していた第三者製ソフトウエアの脆弱性が悪用されたとしている。不正アクセスが疑われる箇所も特定し、技術的な防御策を講じた。
公表が6月23日になった理由について、KDDIは対象となる6社と同時に周知するため準備を進めていたと説明している。影響を受ける利用者が複数の事業者にまたがるため、案内内容や対応手順の調整が必要だった。KDDIは、個人情報保護委員会と総務省にも事態を報告している。
各社と連携し影響範囲を調査
KDDIは今後、対象となるプロバイダー各社と連携し、影響範囲の特定を急ぐ。流出した疑いのある情報にはログインに関わる情報が含まれているため、単なる連絡先情報の漏洩にとどまらない。メールの閲覧や送信に関わるリスクがある点で、利用者保護の徹底が課題となる。
対象サービスの利用者には、各プロバイダーから案内が行われる見通しである。パスワード変更や無効化などの措置が進められることで、不正利用のリスクを下げる対応が取られる。KDDIは、システム面の対策に加え、利用者への周知を通じた被害抑止を進める。
再発防止と利用者対応が焦点
今回の不正アクセスは、プロバイダー向けに提供される共通基盤の安全管理の重要性を改めて示した。KDDI本体のメールサービスに被害はないものの、外部事業者に提供するシステムで大規模な情報漏洩疑いが生じた影響は大きい。特にメールアドレスとパスワードが関係するため、迅速な利用者対応が不可欠となる。
KDDIは、すでにシステム改修と防御策を実施したとしている。今後は、実際の被害範囲の確認、対象者への通知、再発防止策の実効性が問われる。通信インフラに関わる企業として、利用者の信頼をどう回復するかが大きな焦点となる。
