KDDI、ISP向けメールに不正アクセス　J:COM、ニフティなど1422万件流出可能性

KDDIは23日、同社がインターネットサービスプロバイダー(ISP事業者)向けに提供するメールシステムにおいて、各ISP事業者が提供する電子メールサービスの情報が外部に漏えいした可能性があると発表した。対象となるメールアドレスとパスワードは最大1,422万件。

対象のメールサービスは、STNetの「ピカラ光サービス」、「ピカラモバイルサービス」、「お仕事ピカラサービス」に係るメールサービスと、KDDI ウェブコミュニケーションズのレンタルサーバー「CPI」のメールサービス、JCOMの「J:COM NET」とケーブルテレビ事業者向けメールサービス、中部テレコミュニケーションの「コミュファ光」「ビジネスコミュファ」のメールサービス、ニフティの「@nifty メール」、ビッグローブの「BIGLOBE メール」。

KDDIでは、6月17日にISP事業者向けに提供するシステムが不正アクセスを受けていたことを確認。同日に、被害拡大を防止するためにシステムを改修し、技術的な防御措置を実施した。

調査の結果、この不正アクセスは、同システムにおいて利用していた第三者製のソフトウェアの脆弱性を悪用されたもので、メール関連情報が漏えいした可能性があるという。現在、影響範囲の特定などに向け、調査を継続している。

対象となるのはメールサービスで作成されたメールボックスに紐づくメールアドレス・パスワード 最大1,422万件。なお、この件数には解約済みの人や、一定期間利用のないものも含まれる。

KDDIではISP事業者に17日以降順次連絡し、対策を進めているが、「メールアドレスとパスワードが第三者に不正取得されている可能性がある」と説明。ISP事業者からの情報を参考とし、パスワード変更などの対応を行なうよう求めている。

KDDIでは、不正アクセスに関し、個人情報保護委員会、総務省への報告・相談を含む必要な対応を進める。また、メールシステムを採用しているISP各社においても契約者向けに告知し、「パスワード変更」を呼びかけている。