外部提供システムで大規模事案
KDDIが外部のインターネット接続事業者に提供しているメールシステムで、大規模な情報漏洩の疑いが明らかになった。同社は6月23日、最大1422万件のメールアドレスやパスワードが外部に流出した可能性があると発表した。対象はプロバイダー6社の利用者に関わる情報で、メール本文が不正に閲覧された恐れもある。
今回の事案は、KDDIが自社利用者向けに直接提供するメールサービスではなく、外部事業者向けのシステムで発生した。対象となる6社は、STNet、KDDIウェブコミュニケーションズ、JCOM、中部テレコミュニケーション、ニフティ、ビッグローブである。KDDI本体のメールサービスは別の基盤で管理されており、被害は確認されていない。
第三者製ソフトの弱点突かれる
KDDIによると、不正アクセスはシステムに使われていた第三者製ソフトウエアの脆弱性を悪用したものだった。同社は6月17日に事態を確認し、同日中にシステムの改修を行った。不正アクセスが疑われる箇所を特定したうえで、技術的な防御策も実施したとしている。
漏洩が疑われる情報には、メールボックスに紐づくメールアドレスとパスワードが含まれる。これらの情報が外部に渡った場合、第三者がメールボックスにログインする危険がある。メールの閲覧に加え、送信機能が悪用される恐れもあるため、KDDIは利用者へのパスワード変更を求めている。
6社との同時周知で公表へ
KDDIが不正アクセスを確認したのは6月17日だったが、公表は6月23日となった。同社は公表時期について、対象の6社と同時に周知できるよう準備を進めたためと説明している。複数のプロバイダーにまたがる事案であるため、利用者への案内や対応方針をそろえる必要があった。
対象事業者のうち、ニフティとビッグローブは近く現在のパスワードを無効化する方針を示している。KDDIはISP経由で対象者にパスワード更新を呼びかける。個人情報保護委員会と総務省にも報告しており、行政機関への対応も進めている。
通信業界で相次ぐ情報流出
企業による個人情報漏洩は近年増加している。東京商工リサーチによると、2025年に上場企業とその子会社が公表した個人情報の漏洩・紛失事故は180件に達した。被害人数は前年比で約2倍の3000万人超となり、原因の6割が不正アクセスやウイルス感染だった。
通信業界でも大規模な情報流出が続いている。2023年にはNTT西日本で子会社に勤務していた元派遣社員が約900万件の個人情報を不正に持ち出した。2025年にはインターネットイニシアティブがサイバー攻撃を受け、メール関連など約400万人分の情報が漏洩した恐れがあると公表していた。
信頼回復へ管理体制が焦点
KDDIでは1月、ネット広告代理業を手がける傘下企業で架空取引による不正会計問題が発覚した。子会社社長の辞任に加え、松田浩路社長も月例報酬の一部を返納している。6月17日の定時株主総会では、取締役の信任案に対する賛同率が前年から大きく低下した。
同日に公表された臨時報告書では、高橋誠会長の選任への賛同が62.34%、松田社長は77.67%だった。前年はいずれも9割を超えており、不正会計問題の影響がうかがえる。今回のメール情報漏洩疑いにより、KDDIにはシステムの安全対策だけでなく、グループ全体の管理体制と信頼回復に向けた説明責任が求められる。