日本の通信大手KDDIは、国内5社のインターネットサービスプロバイダー(ISP)が利用するメールプラットフォームが攻撃者に侵害され、数百万人分のメールアドレスとパスワードが流出したことを明らかにしました。
KDDIは日本第2位の携帯電話事業者で、従業員数は45,000人、年間売上高は324億ドルに上ります。
同社は先月公表した内容によると、6月17日にインシデントを検知した後、攻撃者のアクセスを遮断して防御策を講じたとしており、今回の侵害がSTNet、JCOM、中部テレコミュニケーション、NIFTY、BIGLOBEの各ISP事業者に影響を及ぼしたことを明らかにしています。
KDDIはさらに、今回のインシデントにより、現在および過去の顧客に加え、休眠アカウントの利用者を含む最大1422万人分のメールアドレスとパスワードが流出した可能性があると付け加えました。また、一部のパスワードはハッシュ化・暗号化された状態で保存されていた(アカウント乗っ取りへの悪用を難しくする)としていますが、平文で保存されていたパスワードの件数や、使用されていた暗号化の種類については明らかにしていません。
7月6日の更新情報でKDDIは、攻撃者がサードパーティ製ソフトウェアのゼロデイ脆弱性を悪用し、5月16日にプラットフォームへ侵入していたことを明らかにしました。
「調査の結果、当社が確認した2026年6月17日時点において、この脆弱性はソフトウェアベンダーに認識されていませんでした」とKDDIは述べています。「当該ソフトウェアベンダーはこの脆弱性を公的機関に報告しており、情報開示に向けて対応を進めています」
1200万件以上のメールアドレスが流出
この通信大手は現在、攻撃者が12,233,087人分のメールアドレスと7,616,173人分のパスワードにアクセスしたことを受け、影響を受けたメールアカウントの保護作業を進めています。
「現在、影響を受けた顧客のメールアカウントのパスワード変更を進めています。これまでに、特にメールサービスを日常的に利用している多くのお客様が、既にパスワードを変更済みです」と同社は述べています。
「あわせて、メールサービスをあまり利用されないお客様のセキュリティを確保するため、ISP各社と協力し、1日から2日以内にパスワードの強制変更を完了させる作業を進めています」
この攻撃を受けてKDDIは、今後の侵害の試みを検知しやすくするためエンドポイント検知・対応(EDR)ソフトウェアも導入しており、6月23日にはフォレンジック監査により、悪用された脆弱性への対応が完了していること、システムが他のセキュリティ問題の影響を受けていないことを確認したとしています。
KDDIは侵害を確認した後、個人情報保護委員会および総務省にも通報を行っており、現在、影響を受けたISP各社と協力し、今回の情報流出によるリスクを軽減するためのセキュリティ対策の実施を進めています。
攻撃者に狙われる前に、すべてのレイヤーをテスト
セキュリティチームが記録できている攻撃成功事例は54%にとどまり、アラートが発せられるのはわずか14%です。残りは環境内を検知されないまま通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMおよびEDRのルールをテストし、脅威の検知漏れを防ぐ方法を紹介しています。