KDDIは23日、インターネットサービスプロバイダー(ISP)向けに提供するメールシステムが不正アクセスを受け、最大1422万件のメールアドレスおよびパスワードが外部に漏洩した可能性があると発表した。

 対象となるのはニフティやビッグローブなど6社のメールサービス。KDDIではすでにシステムの改修と防御措置を済ませているが、二次被害を防ぐためユーザーへパスワードの早急な変更を呼びかけている。

第三者製ソフトの脆弱性を悪用、過去の解約者も対象

 KDDI不正アクセスを確認したのは、6月17日。同社がISP事業者向けに提供しているメールシステムにおいて、第三者製ソフトウェアの脆弱性を悪用した手口だと判明したという。同日に被害拡大を防止するためのシステム改修を行い、被疑箇所の特定および技術的な防御措置を実施済み。

 漏洩した可能性があるのは、同メールサービスにて作成したメールボックスに紐づくメールアドレスとパスワードで、件数は最大1422万件に上る。

 この数値には現在利用中のアカウントだけでなく、すでに解約したユーザーや一定期間利用のない休眠アカウントも含まれる。また、パスワードの一部にはハッシュ化や暗号化したものも含まれる。

ビッグローブやニフティなど計6社が影響

 対象となるISP事業者およびメールサービスは、ニフティの「@niftyメール」、ビッグローブの「BIGLOBEメール」などの6社のサービス。

対象のISP事業者 メールサービス STNet 「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」に係るメールサービス KDDIウェブコミュニケーションズ レンタルサーバー「CPI」のメールサービス JCOM 「J:COM NET」とケーブルテレビ事業者向けメールサービス 中部テレコミュニケーション コミュファ光・ビジネスコミュファのメールサービス ニフティ @niftyメール ビッグローブ BIGLOBEメール

速やかなパスワード変更を要請

 KDDIは17日以降、対象のISP各社へ順次連絡を行い、対策の協議および導入を進めている。関係法令に基づき、個人情報保護委員会と総務省への報告および相談も実施した。

 システム自体の技術的な防御措置は完了しているものの、第三者がメールアドレスとパスワードを不正取得した可能性がある。

 ユーザーのデータを確実に保護し、将来的な不正ログインなどのリスクを排除するため、パスワード変更が必要だと説明。各ISPが提供する情報を確認の上、早急に対応するよう求めている。