KDDIメール漏えいの全容判明 ゼロデイ悪用で761万人分パスワードが流出:再発防止策は有効か?
6月に公表されたKDDIのISP事業者向けメール基盤への不正アクセスで、新たな調査結果が明らかになった。漏えいしたのはメールアドレス1223万3087人分だ。このうち761万6173人分ではパスワードも漏えいも確認されたという。同社の再発防止策とは。
KDDIは2026年7月6日、ISP事業者向けメールシステムへの不正アクセスについて、漏えいが確認された情報の件数や原因、利用者への対応状況、再発防止策を公表した。同年6月24日に総務省から電気通信事業法第166条第1項に基づく報告を求められ、7月6日に報告書を提出した。
同社は2026年6月17日に不正アクセスを確認し、同日中にシステムを改修して脆弱(ぜいじゃく)性に対処するとともに、被害拡大を防ぐための技術的対策を実施した。なお「auメール」「UQ mobileメール」「au one netメール」は別設備で運用しており、本件による影響や情報漏えいは確認されていないという。
761万のパスワード漏えいを確認 原因はベンダー未把握のゼロデイ
対象となったのは、KDDIが開発したISP事業者向けメール基盤だ。メールアカウント管理やメール送受信、Webメール、メールデータ保存などの機能を一体で提供している。
不正アクセスは、システムの一部で利用していた第三者製ソフトウェアの脆弱性を悪用して実行された。一部のISP事業者では2026年5月16日から被害が発生していたことを確認しており、KDDIは同年6月17日に事案を把握。同日中にシステムを改修し、脆弱性に対処した。
その後の調査で、この脆弱性は2026年6月17日時点でソフトウェアベンダーも把握していなかったゼロデイ脆弱性だったことが判明した。ベンダーは公的機関に届け出をし、情報公開の準備を進めている。
漏えいが確認されたのは電子メールアドレス1223万3087人分だ。このうち761万6173人分ではパスワードも漏えいした。KDDIは6月23日の発表時点で、メールボックスにひも付くメールアドレスとパスワードが最大1422万件漏えいした可能性があるとしていたが、今回の調査で実際に漏えいが確認された件数を明らかにした。
対象サーバにEDR導入 AIによるコード解析で潜在的な問題も調査
KDDIは事案確認後、利用者データの保護と将来的なリスク低減を目的に、ISP事業者と連携して対象メールアカウントのパスワード変更を進めている。日常的にメールサービスを利用する利用者を中心に変更作業はおおむね完了しており、利用頻度が低い利用者についても、安全確保のためISP事業者によるパスワードの強制変更を近日中に完了する予定だ。KDDIも各ISP事業者の対応を支援している。
同社は再発防止策として、2026年6月17日にシステム改修を実施した他、同年6月21日には不正アクセスの検知・対応能力を強化するために、外部通信を行う全サーバへのEDR(Endpoint Detection and Response)の導入を完了した。また、同年6月23日には第三者機関によるフォレンジック調査を実施し、本件で悪用された脆弱性以外に不審な痕跡がないことを確認した。
今後はAIを活用して対象ソフトウェアの設計書やソースコードを解析し、潜在的な脆弱性や実装上の問題を網羅的に洗い出す方針だ。分析結果を基に不具合や欠陥の有無を確認するとともに、従来型メールソフトウェアを利用するユーザーへの影響にも配慮しながら、ISP事業者と連携してより安全性の高い通信規格への移行も進める。KDDIはこれらの対策を通じ、メールシステム全体のセキュリティ強化を図るとしている。
〜記者の目:ニュースをちょっと深掘り〜
今回の事案で原因として示されたゼロデイ脆弱性は、攻撃を受けた背景として重要な事実だが、それだけで1223万人分もの情報漏えいを説明したことにはならない。利用者やセキュリティ担当者が本当に知りたいのは、攻撃者はどのような手法で侵入し、認証情報にアクセスしたのか、なぜこれほど大規模な情報取得を許したのかといった技術的な分析である。ゼロデイだったという説明だけでは、同様の事案を防ぐための教訓を得ることは難しい。
再発防止策としてEDRの導入や第三者機関によるフォレンジック調査を実施した点は評価できる。未知の脆弱性を完全に防ぐことは現実的ではなく、侵入を前提に検知能力やインシデント対応能力を強化する取り組みは、重要インフラを運用する事業者として妥当な方向性と言える。
ただ一方で、AIを活用した設計書やソースコード解析を再発防止策の柱として掲げた点には、やや説明不足な印象も残る。生成AIをコードレビューや脆弱性検出に活用する取り組みは広がりつつあるものの、その有効性や検出精度は発展途上であり、ゼロデイ脆弱性対策としてどこまで実効性があるのかは明らかではない。AIというキーワードが先行している印象は否めず、どのような手法で、どのような効果を期待しているのかについて、今後より具体的な説明が求められるだろう。
なお、アイティメディアが運営する「YouTube」チャンネル「TechLIVE」では攻撃者視点の理解を深める番組『攻撃者の目』を公開している。
最新回では、日本ハッカー協会 代表理事の杉浦隆幸氏をゲストに迎え、この事件の裏側をダークWebやOSINT(公開情報調査)の結果を基に徹底解説する。闇市場の動向を踏まえながら、なぜ現時点で漏えいデータが表に出回っていないのか、政府系サイバー攻撃やスパイ活動との関係はあるのかといった点を読み解く。ぜひ視聴してほしい。(田渕聖人)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「人間がボトルネック」になる日は近い? AI時代のサイバー攻防を読み解く4シナリオ
AIが脅威なのではない。AIに何を任せ、どこまで判断を委ねるのか――その選択がサイバー攻防の優劣を左右する時代が始まった。攻撃者と防御者は今、どちらが先に「AIを使う段階」から「AIに任せる段階」へ進むのか。その現在地と未来図を読み解く。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
KDDIで発生した最大1422万件に及ぶ情報漏えい。その背後には、単なる脆弱性悪用では片付けられない攻撃者の狙いが見え隠れしている。ダークWebやOSINT(公開情報調査)から事件を追跡し、流出データの行方や政府系サイバー攻撃との接点、今後想定されるリスクを専門家とともに解説する。
悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる
成功率は約99%。Linuxカーネルで見つかった新たな権限昇格の脆弱性は、極めて短い競合タイミングにもかかわらず、高い確率でroot権限を奪えることが実証された。さらに、この脆弱性はAndroidにも影響する可能性があるという。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。