ビジネスジャーナル > 企業ニュース > KDDI・アフラックで大量情報漏洩

KDDI・アフラックで相次ぐ大量データ漏洩…境界防御の限界、問われるのは初動速度

2026.07.08 05:55 2026.07.07 22:39 企業
文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント

KDDI・アフラックで相次ぐ大量データ漏洩…境界防御の限界、問われるのは初動速度の画像1

●この記事のポイント
KDDIは761万人分のパスワードがゼロデイ脆弱性経由で、アフラックは438万人分の顧客情報が原因調査中の不正アクセスで流出。侵入経路は異なるが「侵入から発覚までの時間差」という共通課題が浮き彫りに。SBoM整備や検知体制強化など、経営者が今すぐ着手すべき対策を具体的に解説する。

 日本を代表する通信インフラ企業と大手生命保険会社が相次いで大規模な不正アクセス被害を公表した。

 KDDIは7月6日、ISP事業者向けに提供するメールシステムへの不正アクセスにより、電子メールアドレス約1223万人分、うちパスワード約761万人分の漏洩を確認したと発表した。対象は@nifty、BIGLOBE、J:COM、コミュファ光など6社のサービス利用者で、au・UQ mobileなどKDDI本体のメールサービスへの影響はないという。

 一方、アフラック生命保険は6月30日、契約者専用サイト「アフラック よりそうネット」などへの不正アクセスにより、氏名・住所・証券番号・保障内容など顧客約438万人分の個人情報が漏洩したと発表した。うち約23万人分については保険料振替口座の情報も含まれる。マイナンバーやクレジットカード情報は対象外とされている。金融庁は同日、保険業法に基づく報告徴求命令を発出した。

 両社ともセキュリティ投資やコンプライアンス体制は業界内でも高い水準にあったはずだ。それでもなぜ、これほどの規模の漏洩を防げなかったのか。2つの事件を丁寧に読み解くと、現代のビジネス構造に共通する脆弱性が見えてくる。

●目次

KDDIとアフラックで何が起きたのか

 KDDIのケースは、原因が比較的明確だ。同社が発表した報告書によれば、ISP向けメールシステムに組み込んでいた第三者製ソフトウェアに脆弱性があり、これが悪用された。しかもKDDIが不正アクセスを確認した6月17日の時点で、ソフトウェアの開発元自身もその脆弱性を認識していない、いわゆる「ゼロデイ」状態だったという。侵入は一部のISPで5月16日から始まっており、発覚までに1カ月以上を要した。

 アフラックのケースは、現時点では原因の細部が明らかになっていない。同社の発表によれば、最初の不正アクセスは6月15日に発生し、6月25日に契約者専用サイトのシステムが異常な高負荷を示していることを検知したのが発覚のきっかけだった。約10日間、複数回にわたり侵入を許していたことになる。侵入経路や手口については「調査中」とされており、外部委託先が起点だったとは公表資料のどこにも明記されていない。したがって、この事案を「委託先管理の甘さ」に起因するものと断定するのは早計だ。

 ちなみに同社は2023年にも、外部委託先のサーバーへの不正アクセスにより約132万人分の情報が流出する事案を経験しており、こちらは委託先起点であることが確認されている。今回とは別の事案として区別して理解する必要がある。

 つまり、2つの事件に共通するのは「委託先の甘さ」という単一の物語ではなく、「自社が直接コントロールしきれない領域から侵入された」という、より広い意味での構造的な弱点である。KDDIは外部調達したソフトウェアの部品、アフラックは顧客接点となる自社の対外システムが、それぞれ突破口となった。攻撃の手口も業種も異なる両者だが、ファイアウォールや認証強化といった「入口対策」だけでは侵入を防ぎきれなかったという事実は共通している。

見過ごせない「検知までの時間差」

 もう一つの共通点は、侵入から発覚までに時間差が生じた点だ。KDDIは侵入開始から発覚まで約1カ月、アフラックは約10日を要している。この間、攻撃者はシステム内に留まり、情報へのアクセスを続けていたとみられる。サイバーセキュリティコンサルタントの新實傑氏は、こう指摘する。

「侵入を100%防ぐことは、ゼロデイ脆弱性がある以上、原理的に不可能に近い。だからこそ重要になるのは、侵入されたことにどれだけ早く気づき、被害範囲をどれだけ迅速に特定して封じ込められるかだ。異常なアクセスパターンや認証の失敗回数を高感度で検知する仕組みがなければ、”高負荷でようやく気づく”という後手の対応から抜け出せない。

 また、委託先や外部ベンダーとの契約書に『セキュリティ遵守』を明記しているだけでは、実効性の担保にはならない。監査が形骸化していれば、有事の際に契約書は免罪符にならず、むしろ『対策していたはず』という経営陣の思い込みがリスクを見えにくくする」

セキュリティは「コスト」ではなく「事業継続への投資」

 IT部門のみならず、経営層に至るまで押さえるべき論点は主に3つある。

 第一に、ゼロトラストの徹底。「大手ベンダーの製品だから安全」「自社サイトだから守られている」という前提を捨て、ネットワークの境界線ではなくデータそのものを保護する発想への転換が求められる。振替口座情報のような機微データは、アクセス権限を細分化し、万が一侵入されても被害を局所化できる設計が望ましい。

 第二に、評価軸を「防げたか」から「どれだけ早く動けたか」へ転換すること。ゼロデイ攻撃を完全に防ぐのは不可能に近い。むしろ、発覚から公表、パスワード強制変更やシステム遮断といった被害拡大防止までのスピードと透明性が、事後の信頼回復を左右する。

 第三に、依存関係の棚卸し。自社システムがどの外部ソフトウェアに依存しているか(いわゆるSBoM=ソフトウェア部品表の整備)、どの外部ベンダーが自社の重要データにアクセスできるかを資産としてリスト化し、有事に一斉点検・対応できる体制を平時から築いておく必要がある。

 KDDIとアフラックの事案は、業界も攻撃の手口も異なるが、サプライチェーンが複雑化した現代のビジネス構造そのものが抱えるリスクを映し出している。どれほど自社のセキュリティ体制を磨いても、外部のソフトウェアや対外システムという接点が存在する限り、リスクをゼロにすることはできない。

 これからの時代に問われる経営者の資質とは、「絶対に漏洩を起こさない」ことではなく、「漏洩が起きることを前提に、被害を最小化し、迅速かつ誠実に対応できる組織を平時からつくれるか」という一点に集約されていくだろう。

(文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント)

BusinessJournal編集部

Business Journal

ポジティブ視点の考察で企業活動を応援 企業とともに歩む「共創型メディア」

X: @biz_journal

Facebook: @bizjournal.anglecreate

ニュースサイト「Business Journal」

公開:2026.07.08 05:55