KDDIのISPメール基盤へのゼロデイ侵害が確定 — 1223万件・761万パスワード流出 のサムネイル

KDDIのISPメール基盤へのゼロデイ侵害が確定 — 1223万件・761万パスワード流出

重要度: 高
⏱ 約 2 分 view 4 like 0 LOG_DATE:2026-07-07

KDDIのISP事業者向けメールシステムへの不正アクセス事件が、7月6日に確定値を迎えた。漏えいしたメールアドレスは 1,223万件、パスワードは 761万件 にのぼり、国内ISPインシデントとして過去最大規模となった。影響を受けたのはSTNet(ピカラ)、KDDIウェブコミュニケーションズ(CPI)、JCOM、中部テレコミュニケーション(コミュファ)、ニフティ、BIGLOBEの6社だ。

1,223万
漏えいメールアドレス(確定値)
761万
漏えいパスワード(内数)
6社
影響を受けたISP事業者

注目すべきはゼロデイ脆弱性の確認だ。KDDIが侵害を検知した6月17日時点で、使用していたサードパーティ製ソフトウェアのベンダー自身もその欠陥を把握していなかった。製品名・CVE番号は7月6日時点で非公表のままで、パッチが存在しない状態で約1か月間にわたって侵入を受け続けていた形となる。同種ソフトウェアを利用する他事業者にも潜在リスクが残っている。

5月16日 — 侵害開始
6社合算での最早の攻撃開始日。ゼロデイを突いた侵入が水面下で始まる。
6月17日 — KDDI が検知・即日改修
侵害を発見し当日中に防御措置を実施。この時点でベンダーも脆弱性を未把握だった。
6月23日 — 第一報公表
影響6社・最大1,422万件として開示。総務省から報告徴収が入る。
7月6日 — 確定値発表
メールアドレス1,223万件・パスワード761万件が確定。関連フィッシングも確認。

今回の構造的な問題は、複数の独立ブランドISPが同一のKDDI基盤をOEM利用していた点にある。攻撃者は1か所を突破するだけで6社分の認証情報を一括取得できる構図で、ISP基盤の集約化が「攻撃効率を高める標的」となった。解約済みや休眠アカウントも対象に含まれており、かつて利用していたユーザーも影響範囲から外れない。

ニフティ・BIGLOBE・ピカラ・コミュファ・JCOM・CPIのいずれかを利用したことがある場合、同一パスワードを他サービスで使い回していないか今すぐ確認してほしい。パスワードはハッシュ化・暗号化されているとされるが詳細は非公表で解読リスクは残る。KDDIや各ISPをかたるフィッシングメールも観測されており、心当たりのない通知メールのリンクへのアクセスは避けるべきだ。

𝕏 ポスト B! はてブ
Post Share LINE B!

COMMENTS 0

まだコメントはありません。最初のコメントを投稿しよう。

コメントを投稿