KDDI、761万人分のパスワード漏洩確認 不正アクセスで
KDDIは6日、企業向けに提供するメールシステムが不正アクセスを受けた問題で、1223万人分のメールアドレスが漏洩したと発表した。このうち761万人分のパスワードの漏洩も確認したという。現時点で二次被害は確認されていないとしている。
KDDIは6月23日、外部のインターネット接続事業者(ISP)へ提供するメールシステムが不正アクセスを受け最大1422万件の個人情報が漏洩した可能性があると発表していた。対象はSTNetやKDDIウェブコミュニケーションズ、JCOM、ニフティなど6社。
総務省から電気通信事業法に基づく報告を求められ、KDDIは7月6日に報告書を提出した。調査の結果、不正アクセスは一部のISPで5月16日から発生していたと分かった。6月1日に被害のあったニフティからKDDIに報告があり、KDDIが調査した結果、同月17日に不正アクセスを確認したという。
システムの一部で導入していた第三者製のソフトウエアの脆弱性を悪用されたことが原因としている。6月17日時点ではソフトウエアを提供した企業が認識していない脆弱性だったという。第三者機関による調査も実施し、今回の脆弱性以外に不審な痕跡はないとした。
KDDIは6月17日からは被害を防ぐためシステムを改修し、技術的な防御措置を行っている。メールサービスを普段使わない顧客も含めた安全確保のため、ISPによるパスワードの強制変更も行っており、7月8日をめどに完了を目指す。
今後はソフトウエアの設計書やプログラムを分析して不具合や欠陥がないかを確認するなどの対策も実施するという。ISPと共同でセキュリティー強度が一段と高い通信規格への移行も進める。
KDDIは7月6日、「多くの関係者の皆様に多大なるご迷惑とご心配をおかけしたことを、改めて深くおわび申し上げる」とコメントした。