KDDI株式会社は6月23日、ISP事業者向けメールシステムへの不正アクセスについて発表した。
これは6月17日に、同社がインターネットサービスプロバイダー(ISP事業者)向けに提供するメールシステムへの不正アクセスを確認したというもの。
同社にて調査した結果、同システムで利用していた第三者製のソフトウェアの脆弱性を悪用されたことが原因で、各ISP事業者が提供するメールサービスの利用に必要となる、顧客のメール関連情報が漏えいした可能性が判明している。
漏えいした可能性のあるメール関連情報は、各ISP事業者が提供するメールサービスで作成されたメールボックスに紐づく最大1,422万件のメールアドレスとパスワード。なお、解約した顧客や、一定期間利用のない休眠の顧客も含み、パスワードには、ハッシュ化・暗号化されたものも含むという。
対象となるISP事業者とメールサービスは下記の通り。
・株式会社 STNet:「ピカラ光サービス」、「ピカラモバイルサービス」、「お仕事ピカラサービス」に係るメールサービス
・株式会社KDDIウェブコミュニケーションズ:レンタルサーバ「CPI」のメールサービス
・JCOM 株式会社:「J:COM NET」とケーブルテレビ事業者向けメールサービス
・中部テレコミュニケーション株式会社:コミュファ光・ビジネスコミュファのメールサービス
・ニフティ株式会社:@nifty メール
・ビッグローブ株式会社:BIGLOBE メール
同社は6月17日に、被害拡大を防止するため、不正アクセスの被疑箇所を特定し技術的な防御措置を実施している。
同社では6月17日以降、ISP事業者に順次連絡を行っており、あわせて対策に関する協議および対策導入を進めている。
同社では、メールアドレスとパスワードが第三者に不正取得されている可能性があり、顧客のデータを確実に保護し、将来的・潜在的なリスクを排除するために、顧客のメールパスワードを変更するよう呼びかけている。
同社では引き続きISP事業者と連携し、顧客への速やかなパスワード変更に向けた周知と対応などを進めるとのこと。
