通信大手KDDIが運用するメールシステムから、最大で約1,420万件のメールアカウント情報が外部に流出した可能性があることが分かった。影響を受けるのは、KDDIがメール機能を提供する6社のインターネット接続事業者(ISP)の利用者だ。メールアドレスとパスワードが第三者に取得された恐れがあり、利用者にパスワード変更が呼びかけられている。
外部ソフトの脆弱性を悪用
KDDIが不正アクセスを検知したのは6月17日。同社はただちに攻撃を遮断し、調査を開始するとともに、日本の個人情報保護委員会や電気通信の規制当局に報告した。攻撃者は、KDDIがシステムで使用していた外部製ソフトウェアの脆弱性(セキュリティ上の弱点)を突いて侵入したとみられている。
共有メール基盤を通じ6社に拡大
影響が及ぶのは、STNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブの6社が提供するメールサービスだ。これらはいずれもKDDIのメール基盤を共通で利用しており、一つの基盤が破られたことで複数の事業者の利用者に被害が広がる「共有インフラ」特有のリスクが表面化した。流出した可能性があるのはメールアドレスとパスワードで、その規模は最大約1,420万件にのぼるとされる。
自社のシステムを直接破られたのではなく、利用していた外部ソフトの弱点を突かれて情報が漏れる構図は、近年相次ぐ「サプライチェーン攻撃」の典型だ。便利なシステムを共通利用するほど、一カ所の穴が広範囲の被害につながりやすいという課題を、今回の一件は改めて突きつけた。
日本への影響
今回の流出は、日本の一般利用者にとって極めて身近で深刻な問題です。対象となったニフティやビッグローブ、JCOMなどは家庭向けの接続サービスとして広く使われており、自分が該当するかどうか分からないまま長年同じメールアドレスとパスワードを使い続けている人も少なくありません。メールアドレスとパスワードの組み合わせが漏れれば、同じパスワードを使い回している他のネットサービスにも不正ログインされる「パスワードリスト攻撃」の危険が一気に高まります。
該当するISPの利用者は、まずメールのパスワードを直ちに変更し、他のサービスで同じパスワードを使っていれば併せて変更することが急務です。可能であれば二段階認証を設定し、身に覚えのないログイン通知や不審なメールに注意する必要があります。企業側にとっても、外部委託先やクラウド基盤を含めた情報管理の徹底が改めて問われており、JPCERTコーディネーションセンターも委託先を含む点検の重要性を呼びかけています。
まとめ:自分が使うメールがどの会社の基盤で動いているかを意識する機会は少ないものですが、これを機にパスワードの使い回しを今日こそ見直しておきたいところではないでしょうか。
出典:
BleepingComputer – Data breach exposes up to 14.2 million email logins at six ISPs
The Japan Times – Information for 14 million email accounts possibly leaked in cyberattack on KDDI
Security Affairs – KDDI data breach impacts up to 14.2 million email accounts at six ISPs
Photo: Wesson Wang / Unsplash


