KDDI は 6 月 23 日、自社が ISP 事業者向けに提供する共通メールシステムが不正アクセスを受け、最大 1422 万件のメールアドレスとパスワードが外部に流出した可能性があると公表した。検知日は 6 月 17 日で、当日中に該当サーバの遮断と修正を実施済みだが、利用 ISP 6 社に対し利用者への注意喚起を進めている。au や UQ mobile のメールサービスは別基盤のため影響を受けないとしている。
主なポイント
- 影響を受けたのは STNet、KDDI ウェブコミュニケーションズ、J:COM、中部テレコミュニケーション、ニフティ、BIGLOBE の 6 社向けサービス
- 原因はメール基盤で利用する第三者製ソフトウェアの脆弱性悪用で、KDDI 内部システムへの侵入は確認されていないという
- 流出が疑われる情報はメールアドレスとパスワード (ハッシュ化状況は調査中) で、メール本文や添付ファイルは対象外
- KDDI は対象 ID のパスワードリセットを順次実施、利用者には他サービスでの使い回しの解消を呼びかけ
- 件数の規模は 2024 年以降に国内 ISP で公表された漏洩事例として最大級で、二次被害の連鎖が懸念される