KDDIが不正アクセスで顧客情報流出の可能性。ニフティ、JCOMなど向けISP向けメールシステムで

KDDIは6月23日、インターネットサービスプロバイダー（ISP）事業者向けに提供するメールシステムに対する不正アクセスを確認し、各ISP事業者が提供する電子メールサービスのメールアドレスとパスワードが外部に漏えいした可能性があると発表した。対象件数は最大1422万件にのぼる。

KDDIによると、不正アクセスを確認したのは6月17日。同日中に被害拡大を防ぐためシステムを改修し、被疑箇所の特定と技術的な防御措置を実施した。調査の結果、システムで利用していた第三者製ソフトウェアの脆弱（ぜいじゃく）性が悪用されたことが原因と見られる。現在も影響範囲の特定に向けた調査を続けている。

対象となるISP事業者は6社。STNetの「ピカラ光サービス」「ピカラモバイルサービス」「お仕事ピカラサービス」のメールサービス、KDDIウェブコミュニケーションズのレンタルサーバー「CPI」のメールサービス、JCOMの「J:COM  NET」とケーブルテレビ事業者向けメールサービス、中部テレコミュニケーションの「コミュファ光」「ビジネスコミュファ」のメールサービス、ニフティの「@niftyメール」、ビッグローブの「BIGLOBEメール」が含まれる。

漏えいした可能性がある情報は、対象メールサービスで作成されたメールボックスに紐付くメールアドレスとパスワード。件数は最大1422万件で、解約済みユーザーや一定期間利用のない休眠ユーザーも含む。パスワードにはハッシュ化または暗号化されたデータも含まれているという。なお、件数は調査継続中のため最大値として公表している。

KDDIは関係法令に基づき、個人情報保護委員会や総務省への報告・相談を含む対応を実施。対象となるISP事業者には6月17日以降、順次連絡し、対策の協議と導入を進めているという。

技術的な防御措置はすでに実施済みとしているが、メールアドレスとパスワードが第三者に取得された可能性があることから、利用者に対しては各ISP事業者からの案内を確認し、速やかにメールパスワードを変更するよう呼びかけている。