KDDI株式会社は7月6日、6月23日に公表したISP事業者向けメールシステムへの不正アクセスについて、続報を発表した。
同社では6月17日に、インターネットサービスプロバイダー(ISP事業者)向けに提供するメールシステムへの不正アクセスを確認しており、同日、被害拡大を防止するために同システムを改修していた。
同社によると、今回の不正アクセスは同社が同システムの一部として導入していた第三者製のソフトウェアの脆弱性を悪用されたことによるもので、調査の結果、同脆弱性は6月17日時点で同ソフトウェアベンダーが認識していない脆弱性で、同ソフトウェアベンダーは、本脆弱性について公的機関への届け出を行い、情報公開に向けた取り組みを進めている。
また、一部のISP事業者では、2026年5月16日から不正アクセスが発生していたとのこと。
漏えいが確認されたのは、同システムで作成された12,233,087名分のメールアドレスで、そのうち7,616,173名はパスワードも含まれる。
同社では不正アクセスの確認後にISP事業者と連携し、対象の顧客のメールアカウントのパスワード変更対応を進めている。
同社では6月21日に、不正アクセス検知の強化のため外部通信を制御する全サーバへのEDR導入を完了するとともに、6月23日には第三者機関によるフォレンジック調査を通じ、本脆弱性以外の不審な痕跡が存在しないことを確認している。
同社では、今後の継続的な対策として、本ソフトウェアの設計書およびプログラムの分析を、AIなども活用するで、潜在的な問題を網羅的にチェックし、その分析結果をもとに本ソフトウェアに不具合や欠陥が存在しないかを細部まで確認する。また、抜本的な取り組みとして、従来型のメールソフトなどを利用している顧客の影響を考慮しつつ、ISP事業者とともに、よりセキュリティ強度の高い通信規格への移行を早期に進めるとのこと。
なお同社では6月24日に、総務省から電気通信事業法第166条第1項に基づく報告を求められており、7月6日に報告書を提出している。



