日本を代表する通信事業者の一社が月曜日、インターネットサービスプロバイダー向けに運営しているメールプラットフォームがサイバー攻撃を受け、顧客のメールアドレス1,220万件以上とパスワード760万件が流出したと発表しました。
同社によると、今回の侵害はメールアカウントの管理、ウェブメールサービス、メールストレージを担うシステムに影響が及んだもので、日本国内の5社のインターネットサービスプロバイダー向けに提供されているものだといいます。KDDIは6月に不正アクセスの発生を最初に公表していましたが、今週になって法医学的調査を完了し、総務省へ報告書を提出したことで、ようやく情報流出の規模が確認されました。
同社の説明によれば、攻撃者はメールプラットフォームで使用されているサードパーティ製ソフトウェアの脆弱性を悪用したとのことです。KDDIは侵入を検知した直後に、この脆弱性へのパッチ適用とシステムの改修を実施したとしており、調査担当者は悪用された脆弱性以外にシステムが侵害された痕跡は見つかっていないと付け加えています。
KDDIによれば、モバイルおよび固定インターネット顧客向けの自社メールサービスは別のインフラ上で稼働しており、今回の影響は受けていないとのことです。
KDDIは「これまでのところ、当該メールサービスを日常的に利用している多くのお客様がパスワードを変更済みです」とコメントし、影響を受けたインターネットサービスプロバイダー各社は今後数日中にパスワードの強制リセットを完了させる作業を進めていると付け加えました。
同社は「影響範囲および原因を分析するとともに、ISP事業者と連携してお客様への対応にあたり、再発防止策を講じています」と述べています。
KDDIは日本の通信大手3社の一角を占める企業で、国内第2位のモバイルネットワークを運営するほか、ブロードバンド、クラウドコンピューティング、サイバーセキュリティ、データセンターの各サービスも手がけています。
今回の公表は、ここ数週間で日本の大手企業から相次いで報告されている一連のサイバーインシデントのさなかに行われました。これらにはアフラックの日本法人、電子機器メーカーのニデック、ビール会社のサッポロホールディングスが含まれ、いずれも情報漏えいまたはサイバー関連の障害を公表しています。なお、これらのインシデントが相互に関連しているという兆候はありません。
別件では、東京警察が今週、アニメ配信サービス「バンダイチャンネル」のサーバーの脆弱性を悪用し、46,000件を超える利用者の契約を不正に解約させた疑いで15歳の高校生を逮捕したと発表しました。
翻訳元: https://therecord.media/major-japanese-telco-cyberattack-12-million-emails