KDDI が ISP 事業者向けに提供するメールシステムが、第三者製ソフトウェアのゼロデイ脆弱性を悪用した不正アクセスを受けた。漏えいした可能性があるのは約 1,223 万件のメールアドレスで、そのうち約 762 万件はパスワードも含む。国内 ISP 史上でも有数の大規模情報流出となった。
1 か月超にわたった侵害の経緯 #
攻撃は早いケースでは 2026 年 5 月 16 日から始まっており、脆弱性が特定された 6 月 17 日まで約 1 か月継続した。問題のゼロデイは、KDDI が導入した第三者製ソフトウェアに潜む未知の欠陥で、発見された時点でもベンダーが認識していなかった。KDDI は即日修正を施し、6 月 21 日に全サーバへ EDR を展開、6 月 23 日には第三者フォレンジック調査で追加の不審痕跡がないことを確認した。
ゼロデイ × ISP メールが招くリスクの連鎖 #
セキュリティの観点で今回の事案が特に危険な理由は、漏えいデータの組み合わせにある。メールアドレスとパスワードがセットで流出した場合、攻撃者はそのまま他サービスへのクレデンシャルスタッフィング(パスワード使い回し攻撃)を仕掛けられる。ISP メールアドレスは SNS・銀行・EC サイトの本人確認に広く使われており、連鎖被害のリスクは高い。
また今回の侵害はパッチ管理では防げなかった。ベンダー自身が認識していないゼロデイは、どれほど堅固な防御策を敷いても「防ぎようのない攻撃」となる。KDDI の事後対応は迅速だったが、商用ソフトウェアが通信インフラに潜むリスクを改めて露わにした事例と言えよう。
対象サービスを利用しているユーザは、ISP メールアカウントのパスワードを即時変更し、同一パスワードを他サービスで使い回している場合は全サービスの変更を急いでほしい。
COMMENTS 0
No comments yet — be the first to leave one.