6月に公表されたKDDIのISP事業者向けメール基盤への不正アクセスで、新たな調査結果が明らかになった。漏えいしたのはメールアドレス1223万3087人分だ。このうち761万6173人分ではパスワードも漏えいも確認されたという。同社の再発防止策とは。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
KDDIは2026年7月6日、ISP事業者向けメールシステムへの不正アクセスについて、漏えいが確認された情報の件数や原因、利用者への対応状況、再発防止策を公表した。同年6月24日に総務省から電気通信事業法第166条第1項に基づく報告を求められ、7月6日に報告書を提出した。
同社は2026年6月17日に不正アクセスを確認し、同日中にシステムを改修して脆弱(ぜいじゃく)性に対処するとともに、被害拡大を防ぐための技術的対策を実施した。なお「auメール」「UQ mobileメール」「au one netメール」は別設備で運用しており、本件による影響や情報漏えいは確認されていないという。
対象となったのは、KDDIが開発したISP事業者向けメール基盤だ。メールアカウント管理やメール送受信、Webメール、メールデータ保存などの機能を一体で提供している。
不正アクセスは、システムの一部で利用していた第三者製ソフトウェアの脆弱性を悪用して実行された。一部のISP事業者では2026年5月16日から被害が発生していたことを確認しており、KDDIは同年6月17日に事案を把握。同日中にシステムを改修し、脆弱性に対処した。
その後の調査で、この脆弱性は2026年6月17日時点でソフトウェアベンダーも把握していなかったゼロデイ脆弱性だったことが判明した。ベンダーは公的機関に届け出をし、情報公開の準備を進めている。
漏えいが確認されたのは電子メールアドレス1223万3087人分だ。このうち761万6173人分ではパスワードも漏えいした。KDDIは6月23日の発表時点で、メールボックスにひも付くメールアドレスとパスワードが最大1422万件漏えいした可能性があるとしていたが、今回の調査で実際に漏えいが確認された件数を明らかにした。
KDDIは事案確認後、利用者データの保護と将来的なリスク低減を目的に、ISP事業者と連携して対象メールアカウントのパスワード変更を進めている。日常的にメールサービスを利用する利用者を中心に変更作業はおおむね完了しており、利用頻度が低い利用者についても、安全確保のためISP事業者によるパスワードの強制変更を近日中に完了する予定だ。KDDIも各ISP事業者の対応を支援している。
同社は再発防止策として、2026年6月17日にシステム改修を実施した他、同年6月21日には不正アクセスの検知・対応能力を強化するために、外部通信を行う全サーバへのEDR(Endpoint Detection and Response)の導入を完了した。また、同年6月23日には第三者機関によるフォレンジック調査を実施し、本件で悪用された脆弱性以外に不審な痕跡がないことを確認した。
今後はAIを活用して対象ソフトウェアの設計書やソースコードを解析し、潜在的な脆弱性や実装上の問題を網羅的に洗い出す方針だ。分析結果を基に不具合や欠陥の有無を確認するとともに、従来型メールソフトウェアを利用するユーザーへの影響にも配慮しながら、ISP事業者と連携してより安全性の高い通信規格への移行も進める。KDDIはこれらの対策を通じ、メールシステム全体のセキュリティ強化を図るとしている。
今回の事案で原因として示されたゼロデイ脆弱性は、攻撃を受けた背景として重要な事実だが、それだけで1223万人分もの情報漏えいを説明したことにはならない。利用者やセキュリティ担当者が本当に知りたいのは、攻撃者はどのような手法で侵入し、認証情報にアクセスしたのか、なぜこれほど大規模な情報取得を許したのかといった技術的な分析である。ゼロデイだったという説明だけでは、同様の事案を防ぐための教訓を得ることは難しい。
再発防止策としてEDRの導入や第三者機関によるフォレンジック調査を実施した点は評価できる。未知の脆弱性を完全に防ぐことは現実的ではなく、侵入を前提に検知能力やインシデント対応能力を強化する取り組みは、重要インフラを運用する事業者として妥当な方向性と言える。
ただ一方で、AIを活用した設計書やソースコード解析を再発防止策の柱として掲げた点には、やや説明不足な印象も残る。生成AIをコードレビューや脆弱性検出に活用する取り組みは広がりつつあるものの、その有効性や検出精度は発展途上であり、ゼロデイ脆弱性対策としてどこまで実効性があるのかは明らかではない。AIというキーワードが先行している印象は否めず、どのような手法で、どのような効果を期待しているのかについて、今後より具体的な説明が求められるだろう。
なお、アイティメディアが運営する「YouTube」チャンネル「TechLIVE」では攻撃者視点の理解を深める番組『攻撃者の目』を公開している。
最新回では、日本ハッカー協会 代表理事の杉浦隆幸氏をゲストに迎え、この事件の裏側をダークWebやOSINT(公開情報調査)の結果を基に徹底解説する。闇市場の動向を踏まえながら、なぜ現時点で漏えいデータが表に出回っていないのか、政府系サイバー攻撃やスパイ活動との関係はあるのかといった点を読み解く。ぜひ視聴してほしい。(田渕聖人)
「人間がボトルネック」になる日は近い? AI時代のサイバー攻防を読み解く4シナリオ
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法Copyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ