概要

KDDIは、傘下のSTNet、JCOM、中部テレコミュニケーション、NIFTY、BIGLOBEなど複数のISPが提供するメールサービスで発生した情報漏えいについて、最終調査の結果を発表した。それによると、流出したのは1223万3087件のメールアドレスと761万6173件のパスワードで、最大1422万件の顧客(現契約者・元契約者・休眠アカウントを含む)に影響が及ぶ可能性があるとしている。6月に発覚した当初は「最大1422万件の可能性」という速報段階の発表にとどまっていたが、フォレンジック調査が完了したことで、確定的な被害規模として更新された。

経緯と原因

攻撃者は5月16日、メールインフラを支えるサードパーティ製ソフトウェアに存在していたゼロデイ脆弱性を悪用し、システムへの侵入に成功した。KDDIがこの侵害を検知したのは6月17日で、同社は「確認時点で、この脆弱性はソフトウェアベンダー側でも認識されていなかった」と説明している。侵入から発覚までの約1カ月間、複数のISPが影響を受けていたとみられる。侵害の対象となったのはメールインフラ関連のシステムに限られ、KDDIの携帯電話サービスや固定回線インターネットサービス自体は影響を受けていないという。

対応と今後の影響

KDDIは侵害を検知した直後に攻撃者をシステムから排除し、その後の6月23日にはフォレンジック監査によって脆弱性への対処が完了したことを確認した。流出したパスワードの一部はハッシュ化または暗号化された状態で保存されていたとされるが、具体的な暗号化方式や平文のまま流出した件数については明らかにされていない。同社はエンドポイント検知・対応(EDR)ソフトウェアを導入するとともに、影響を受けた全アカウントを対象にパスワードの強制リセットを実施し、個人情報保護委員会および総務省への報告も行った。現時点で追加の不審な活動は確認されていないとしているが、対象となったソフトウェアについては引き続き詳細な調査が進められている。