KDDI beschreibt den Vorfall als unbefugten Zugriff auf ein System, das das Unternehmen als Teil der E-Mail-Infrastruktur für fünf Internetanbieter entwickelt hatte. Genannt werden STNet, JCOM, Chubu Telecommunications, NIFTY und BIGLOBE. Der Angriff ereignete sich am 17. Juni.

Nach Angaben des Telekommunikationskonzerns nutzten die Angreifer eine Zero-Day-Schwachstelle in Software aus, die im Rahmen dieses Systems eingesetzt wurde. Aus dem Hinweis von KDDI geht laut maschineller Übersetzung hervor, dass mehrere der beteiligten Internetanbieter bereits seit Mai von der Ausnutzung des Fehlers betroffen waren. Der Hersteller arbeite nun an einer Sicherheitskorrektur für die bislang unbekannte Schwachstelle.

KDDI betont zugleich, dass die eigenen mobilen und festnetzbasierten Internet-E-Mail-Dienste nicht von dem Angriff betroffen waren. Diese Angebote liefen auf einer getrennten Infrastruktur.

Im Zuge des Vorfalls wurden laut KDDI 12,2 Millionen E-Mail-Adressen kompromittiert. Zudem fielen die Passwörter von 7,6 Millionen Personen in die Hände der Angreifer. Weitere Datentypen nennt das Unternehmen in seiner Bestätigung nicht.

Nach eigenen Angaben arbeitet KDDI gemeinsam mit den betroffenen Internetanbietern daran, Passwortzurücksetzungen anzustoßen. Kunden, die ihre E-Mail-Adressen regelmäßig nutzen, hätten ihre Anmeldedaten bereits aktualisiert. Für alle betroffenen E-Mail-Konten solle innerhalb der folgenden Tage eine verpflichtende Zurücksetzung der Passwörter abgeschlossen werden.

KDDI erklärt außerdem, die Angreifer unmittelbar nach Entdeckung des Vorfalls aus den eigenen Systemen entfernt zu haben. Hinweise auf weitere verdächtige Aktivitäten lägen dem Unternehmen nach eigener Aussage nicht vor.

Darüber hinaus kündigte KDDI an, die eingesetzte Software umfassend zu prüfen, um sicherzustellen, dass sie keine weiteren Schwachstellen enthält. Gemeinsam mit den betroffenen Internetanbietern wolle das Unternehmen zudem auf sicherere Kommunikationstechnologien umstellen.