eSecurity Planet のコンテンツおよび製品レコメンデーションは、編集部が独自の判断で作成しています。パートナーへのリンクをクリックした場合、報酬が発生することがあります。 詳細はこちら
日本の大手通信事業者であるKDDI株式会社は、6つのインターネットサービスプロバイダー(ISP)にわたる最大1,420万件の顧客アカウントのメールアドレスとパスワードが流出した可能性があるデータ侵害を公表しました。
同社は6月17日に共有メールシステムへの不正アクセスを検知し、攻撃者をブロックするとともに、追加の防御措置を講じました。
KDDIインシデントの要点
- KDDIは、日本国内の6つのISPにわたる最大1,420万件のアカウントのメールアドレスとパスワードが流出した可能性があるとして、今回の侵害を公表しました。
- 攻撃者はサードパーティ製ソフトウェアの脆弱性を悪用しており、共有インフラおよびサプライヤー依存に伴う二次的リスクが改めて浮き彫りになりました。
- 実際の影響は現在も調査中であり、KDDIはすべての影響アカウントにおけるパスワードの保存方式を開示していないため、認証情報全体のリスクは依然として不透明な状況です。
- 流出したメール認証情報は、パスワードの一部がハッシュ化・暗号化されていたとしても、スピアフィッシング、クレデンシャルスタッフィング、アカウント乗っ取り攻撃に悪用される恐れがあります。
複数の日本国内ISPへの影響
今回のインシデントは、KDDIが運営するメールサービスのほか、STNet、JCOM、中部テレコミュニケーション、NIFTY、BIGLOBEが提供するメールサービスにも影響を及ぼしました。
KDDIは従業員数約4万5,000人を擁する日本最大級の通信会社です。
同社は、現在の契約者、過去の契約者、および現在は使用されていない可能性のある休眠アカウントを含め、最大1,420万件のアカウントが流出した可能性があると推計しています。
KDDIは調査が継続中であるとしており、影響を受けたアカウントの正確な件数はまだ確認されていないと説明しています。
今回の被害システムが複数のISP事業者を支える共通基盤であったことから、単一のシステムが侵害された場合に共有サービスやサプライヤー依存型インフラが二次的なリスクをいかに拡大させるかが改めて示されました。
パスワード流出リスクは依然として不明確
KDDIによると、一部のパスワードはハッシュ化または暗号化された形式で保存されており、即座のアカウント乗っ取りが発生する可能性は低い場合があります。
しかし同社は、使用されているハッシュ化・暗号化の方式や、ソルト(salt)の適用有無、またより強固な保護を受けているアカウントの割合については開示していません。
パスワード流出のリスクは認証情報の保存方法に大きく左右されるため、脆弱なハッシュ化、復号可能な暗号化、あるいは平文保存が行われていた場合、一部のユーザーは他のユーザーよりも高いリスクにさらされている可能性があります。
仮に一部のパスワードがすぐには悪用されないとしても、流出したメールアドレスとログイン情報は、スピアフィッシング、クレデンシャルスタッフィング、アカウント乗っ取り試行のリスクをもたらす可能性があります。
KDDIが規制当局および影響ISPへ報告
KDDIは、影響を受けたISPへの連絡を開始するとともに、個人情報保護委員会および総務省へ今回のインシデントを報告したと説明しています。
また同社は、影響を受けた事業者と連携して追加のセキュリティ対策を実施し、顧客へのリスク低減に取り組んでいます。
影響を受けた顧客は、メールパスワードをリセットし、利用可能な場合は二要素認証(2FA)を有効化するとともに、パスワードマネージャーの利用を検討してください。
組織・企業においては、異常なログイン活動、認証失敗の急増、不審な転送ルールの設定、および影響ユーザーを標的としたフィッシングの試みを継続的に監視することが重要です。
今回のKDDIの侵害は、サードパーティ製ソフトウェアの脆弱性が集中型インフラに影響を与えた場合に、いかに大規模な情報流出につながり得るかを改めて示しています。
ゼロトラストソリューションは、継続的な検証と最小権限アクセスを通じて、侵害された認証情報やサードパーティリスクの影響を組織が最小限に抑えるうえで有効な手段となります。
翻訳元: https://www.esecurityplanet.com/threats/kddi-data-breach-may-expose-14-2-million-email-accounts/
