KDDI zufolge zielte der Angriff auf eine E-Mail-Plattform, die das Unternehmen für Internetdienstanbieter in Japan betreibt. Das betroffene System dient der Verwaltung von Kundenkonten, dem Betrieb von Webmail-Funktionen und der Speicherung von E-Mails. Nach Abschluss der forensischen Untersuchung bezifferte KDDI die Offenlegung auf mehr als 12,2 Millionen E-Mail-Adressen und 7,6 Millionen Passwörter.
Den unbefugten Zugriff hatte KDDI bereits im Juni offengelegt. Das volle Ausmaß bestätigte das Unternehmen jedoch erst, nachdem die Untersuchung abgeschlossen und in dieser Woche ein Bericht an Japans Kommunikationsministerium übermittelt worden war. Laut KDDI nutzten die Angreifer eine Schwachstelle in Drittanbieter-Software aus, die auf der E-Mail-Plattform eingesetzt wurde.
Nach Angaben des Unternehmens wurde die Schwachstelle unmittelbar nach Entdeckung des Angriffs behoben, zudem sei das System geändert worden. KDDI erklärte außerdem, die Ermittler hätten keine Belege dafür gefunden, dass die Angreifer andere Systeme jenseits der ausgenutzten Schwachstelle kompromittiert hätten.
Nicht betroffen waren laut KDDI die eigenen E-Mail-Dienste für Mobilfunk- und Festnetzkunden. Diese liefen auf einer separaten Infrastruktur. Das grenzt den Vorfall auf die Plattform für die fünf japanischen Internetdienstanbieter ein.
KDDI teilte mit, dass bislang viele Kunden, die den E-Mail-Dienst regelmäßig nutzen, ihre Passwörter bereits geändert hätten. Zudem arbeiteten die betroffenen Internetdienstanbieter daran, in den kommenden Tagen die vorgeschriebenen Passwort-Zurücksetzungen abzuschließen. Das Unternehmen erklärte weiter, es analysiere den Umfang der Auswirkungen und die Ursache, stimme die Reaktion gegenüber Kunden mit den ISP-Betreibern ab und treffe Maßnahmen, um eine Wiederholung zu verhindern.
KDDI zählt zu den drei größten Telekommunikationsunternehmen Japans. Das Unternehmen betreibt das zweitgrößte Mobilfunknetz des Landes und bietet daneben unter anderem Breitband-, Cloud-Computing-, Cybersicherheits- und Rechenzentrumsdienste an.
Die Offenlegung fällt in eine Phase, in der mehrere große japanische Unternehmen in den vergangenen Wochen Cybervorfälle gemeldet haben. Dazu zählen die japanische Einheit von Aflac, der Elektronikhersteller Nidec und der Brauereikonzern Sapporo Holdings, die allesamt Verstöße oder cyberbedingte Störungen bekannt gemacht haben. Hinweise auf einen Zusammenhang dieser Vorfälle gibt es nicht.
Unabhängig davon teilte die Polizei in Tokio in dieser Woche mit, sie habe einen 15-jährigen Oberschüler festgenommen. Er steht im Verdacht, eine Schwachstelle in Servern des Anime-Streaming-Dienstes Bandai Channel ausgenutzt zu haben, um betrügerisch mehr als 46.000 Nutzerabonnements zu kündigen.
