
●この記事のポイント
KDDIは761万人分のパスワードがゼロデイ脆弱性経由で、アフラックは438万人分の顧客情報が原因調査中の不正アクセスで流出。侵入経路は異なるが「侵入から発覚までの時間差」という共通課題が浮き彫りに。SBoM整備や検知体制強化など、経営者が今すぐ着手すべき対策を具体的に解説する。
日本を代表する通信インフラ企業と大手生命保険会社が相次いで大規模な不正アクセス被害を公表した。
KDDIは7月6日、ISP事業者向けに提供するメールシステムへの不正アクセスにより、電子メールアドレス約1223万人分、うちパスワード約761万人分の漏洩を確認したと発表した。対象は@nifty、BIGLOBE、J:COM、コミュファ光など6社のサービス利用者で、au・UQ mobileなどKDDI本体のメールサービスへの影響はないという。
一方、アフラック生命保険は6月30日、契約者専用サイト「アフラック よりそうネット」などへの不正アクセスにより、氏名・住所・証券番号・保障内容など顧客約438万人分の個人情報が漏洩したと発表した。うち約23万人分については保険料振替口座の情報も含まれる。マイナンバーやクレジットカード情報は対象外とされている。金融庁は同日、保険業法に基づく報告徴求命令を発出した。
両社ともセキュリティ投資やコンプライアンス体制は業界内でも高い水準にあったはずだ。それでもなぜ、これほどの規模の漏洩を防げなかったのか。2つの事件を丁寧に読み解くと、現代のビジネス構造に共通する脆弱性が見えてくる。
●目次
KDDIのケースは、原因が比較的明確だ。同社が発表した報告書によれば、ISP向けメールシステムに組み込んでいた第三者製ソフトウェアに脆弱性があり、これが悪用された。しかもKDDIが不正アクセスを確認した6月17日の時点で、ソフトウェアの開発元自身もその脆弱性を認識していない、いわゆる「ゼロデイ」状態だったという。侵入は一部のISPで5月16日から始まっており、発覚までに1カ月以上を要した。
アフラックのケースは、現時点では原因の細部が明らかになっていない。同社の発表によれば、最初の不正アクセスは6月15日に発生し、6月25日に契約者専用サイトのシステムが異常な高負荷を示していることを検知したのが発覚のきっかけだった。約10日間、複数回にわたり侵入を許していたことになる。侵入経路や手口については「調査中」とされており、外部委託先が起点だったとは公表資料のどこにも明記されていない。したがって、この事案を「委託先管理の甘さ」に起因するものと断定するのは早計だ。
ちなみに同社は2023年にも、外部委託先のサーバーへの不正アクセスにより約132万人分の情報が流出する事案を経験しており、こちらは委託先起点であることが確認されている。今回とは別の事案として区別して理解する必要がある。
つまり、2つの事件に共通するのは「委託先の甘さ」という単一の物語ではなく、「自社が直接コントロールしきれない領域から侵入された」という、より広い意味での構造的な弱点である。KDDIは外部調達したソフトウェアの部品、アフラックは顧客接点となる自社の対外システムが、それぞれ突破口となった。攻撃の手口も業種も異なる両者だが、ファイアウォールや認証強化といった「入口対策」だけでは侵入を防ぎきれなかったという事実は共通している。