- 日本最大級のISPへの攻撃により、数千万件の認証情報が流出した可能性
- 攻撃はKDDIが使用するサードパーティ製ソフトウェアの脆弱性を悪用
- 他の5つのISPも攻撃の被害を受ける
日本の通信大手KDDI株式会社は、6つのインターネットサービスプロバイダー(ISP)にわたる1,400万人超の顧客のメールアドレスとパスワードの組み合わせが流出した可能性のあるデータ侵害を公表しました。
同社によると、ハッカーはサードパーティ製ソフトウェアの脆弱性を悪用して認証情報データベースにアクセスしたとのことです。KDDIは2026年6月17日に不正侵入を発見した後、直ちにハッカーのアクセスをブロックしたと述べています。
「システムに対する技術的な防御措置はすでに実施されていますが、本インシデントの結果として、顧客のメールアドレスおよびパスワードが不正な第三者に取得された可能性が残っています」と同社は声明の中で述べています。
数百万件の認証情報が流出
残念ながら、今回の侵害はKDDIだけにとどまりませんでした。他の5つのISPのメールサービスも被害を受けています。
- STNet株式会社
- JCOM株式会社
- 中部テレコミュニケーション株式会社
- ニフティ株式会社
- ビッグローブ株式会社
KDDIはまだ正式な調査を終えていませんが、ハッカーが現在および過去の顧客1,422万人分のメールアドレスとパスワードにアクセスした可能性があるとしています。また同社は、一部のパスワードは暗号化された形式で保存されていたためハッカーはアクセスできないとしていますが、該当件数については明らかにしていません。
侵害を発見して以来、KDDIは被害を受けたISPと連携してシステムのセキュリティ強化に取り組み、流出したアカウント認証情報の悪用に対抗するための緩和措置を講じています。
被害を防ぐため、顧客にはアカウントのパスワード変更と二要素認証の導入が推奨されています。
このような侵害が特に危険なのは、メールアドレスとパスワードの組み合わせが流出するためです。多くの人が複数のアカウントで同じメールアドレスを1〜2つ使い回しているため、ハッカーが流出した組み合わせを用いて、同じメールアドレスで作成された他のアカウントへのアクセスを試みる可能性が高まります。
同じパスワード(またはその変形)を複数のアカウントで使い回している場合は特に注意が必要です。ハッカーはブルートフォース技術を駆使し、短時間で何百ものパスワードの組み合わせを試して、脆弱なパスワードや使い回されたパスワードを解読しようとします。
どのアカウントのパスワードを作成・更新する際も、使用頻度に関わらず、常に強力でユニークなパスワードを設定してください。パスワードマネージャーは強力なパスワードを生成・提案し、安全に保存してログインフォームに自動入力してくれるため、パスワードを覚える手間を大幅に省けます。
また、一部のサービスではパスキーを使ったログインが可能で、顔認証や指紋認証などデバイスに内蔵された生体認証機能を活用します。これらのログイン方法はパスワード入力の手間を省くだけでなく、フィッシング攻撃を通じてハッカーがアカウントにアクセスする可能性も低減します。
