文章总结: 日本电信运营商KDDI确认其ISP邮件系统因第三方软件零日漏洞遭攻击,导致超1223万邮箱地址及761万密码泄露。攻击者自2026年5月16日潜伏至6月17日被发现。KDDI已修复漏洞并强制用户改密,后续计划引入AI分析代码并升级邮件协议。事件凸显共享基础设施与供应链安全的系统性风险,建议加强持续监测与零信任防御。 综合评分: 85 文章分类: 漏洞分析,应急响应,数据泄露,供应链安全,安全建设
零日漏洞引爆电信运营商千万级数据泄露事件
原创
何威风 何威风
河南等级保护测评
2026年7月9日 21:53 湖南
在小说阅读器读本章
去阅读
KDDI确认超1223万邮箱地址泄露,第三方软件零日漏洞引发日本近年最大邮件系统安全事件
日本第二大电信运营商KDDI近日公布针对ISP邮件系统遭受网络攻击事件的最终调查结果。经过进一步取证分析,此次事件共确认造成12,233,087个电子邮件地址以及7,616,173个邮件账户密码遭到泄露,成为近年来日本通信行业影响范围最大的邮件系统数据泄露事件之一。
与此前公布的”最高可能影响1422万账户”相比,此次公布的数据意味着KDDI已经完成事件取证,确认了实际泄露范围。目前公司表示尚未发现因本次事件导致的二次攻击或进一步数据滥用情况,但仍要求所有受影响用户尽快完成密码修改。
此次事件影响的并非KDDI移动通信网络,而是KDDI为多家互联网服务提供商(ISP)建设和运营的一套统一邮件平台。受影响的包括BIGLOBE、@nifty、J:COM、Commufa、STNet等多家ISP邮件服务,而au Mail、UQ mobile Mail以及au one net Mail由于运行于独立基础设施,并未受到此次攻击影响。
攻击过程:零日漏洞导致攻击者长期潜伏
KDDI调查显示,本次攻击利用的是部署于邮件系统中的第三方软件未知漏洞(Zero-day)。攻击活动最早可追溯至2026年5月16日,攻击者利用尚未公开、软件供应商当时亦未知的漏洞进入邮件平台,并持续实施未授权访问。直到6月17日,KDDI监测到异常行为后才确认遭遇网络攻击,并立即完成系统修复、封堵漏洞及技术防护措施部署。调查还发现,在KDDI发现漏洞时,软件供应商尚未意识到该漏洞存在,目前已启动向相关公共机构报送漏洞信息并推进公开披露工作。
这一过程体现出典型的供应链攻击特征:攻击者并非直接攻破运营商自身业务系统,而是通过第三方组件中的未知漏洞,进入由运营商统一提供的邮件基础设施,最终波及多个ISP客户。
泄露数据已由”可能泄露”升级为”确认泄露”
经过近三周的取证分析,KDDI确认此次事件造成以下数据泄露:
-
电子邮件地址:12,233,087个;
-
邮件系统密码:7,616,173个
(属于上述邮箱地址的子集)。
泄露密码均为邮件系统账户密码,并不意味着运营商会员账号或其他业务认证信息一定泄露,但如果用户存在密码复用行为,则攻击者可能利用泄露凭据对其他互联网服务发起撞库攻击,因此风险仍然较高。
应急响应:快速修复、强制改密、EDR全面部署
事件发现当天,KDDI即完成漏洞修复并阻断攻击路径,同时启动全网应急响应。为降低账户被盗风险,公司联合各ISP推动受影响用户修改密码,并计划通过运营商实施强制密码重置,确保所有受影响账户完成密码更新。
技术层面,KDDI于6月21日完成所有对外通信服务器的EDR部署,以强化恶意行为检测能力;随后委托第三方专业机构开展取证分析,确认除本次漏洞外,未发现其他异常攻击痕迹。与此同时,公司还向日本总务省提交了正式调查报告,以履行《电气通信事业法》规定的监管报告义务。
后续整改:引入AI分析代码,推动邮件协议升级
值得关注的是,KDDI提出了一系列具有前瞻性的整改措施。
一方面,公司计划利用人工智能(AI)技术对第三方软件设计文档及源代码开展系统性分析,对潜在缺陷进行全面排查,希望在传统漏洞扫描之外发现深层次设计缺陷。另一方面,KDDI还计划与各ISP共同推进更高安全等级的邮件通信协议和基础设施升级,在兼顾传统邮件客户端兼容性的前提下,逐步提升整个行业邮件系统的安全水平。
安全观察:事件暴露共享基础设施的系统性风险
此次事件具有较强的行业代表性,其影响远超单一运营商数据泄露。
首先,攻击目标并非某一家ISP,而是共享邮件基础设施。当多个运营商依赖同一邮件平台时,一旦核心平台出现漏洞,将形成”一点突破、多方受影响”的放大效应。这也是近年来供应链攻击持续增长的重要原因。
其次,本次事件再次证明零日漏洞防御能力已成为大型运营商的重要安全能力。攻击者利用供应商尚未知晓的漏洞完成长期潜伏,传统依赖漏洞补丁和签名检测的安全措施难以及时发现异常,更需要通过EDR、行为分析、威胁狩猎以及持续监测机制提升未知威胁发现能力。
此外,本次事件也反映出第三方软件安全治理的重要性。对于运营关键基础设施的企业而言,仅关注自身代码安全已远远不够,还应建立覆盖供应商软件、开源组件及外部服务的全生命周期安全管理体系,包括软件物料清单(SBOM)、供应链风险评估、第三方漏洞响应机制以及持续安全验证等措施。
KDDI事件再次说明,在数字基础设施高度共享、供应链深度耦合的今天,网络攻击已经从单点系统渗透演变为针对整个生态链的系统性攻击。对于电信运营商、互联网平台以及关键信息基础设施运营者而言,未来网络安全建设重点不仅在于”修补漏洞”,更应建立持续监测、供应链安全治理、零信任访问控制、EDR/XDR联动检测、AI辅助漏洞分析以及快速应急响应等综合防御能力,从而提升面对未知漏洞和高级持续性攻击(APT)的整体安全韧性。
等保、关保、数保、个保,网络安全与数据治理“四位一体”的体系化制度框架
网络安全等级保护制度统一框架辨析
>>>等级保护<<<
从资质驱动到能力驱动——新标准下测评机构的生与死
测评机构迎大考,安全厂商的机会来了!
测评机构的回旋镖来了!测评机构不仅要会“测别人”,更要先“管好自己”
新标准背景下等级测评机构应培养什么样的人才
供应链企业应该如何适应等级保护发展
网络安全等级保护制度演进,安全治理思维的演变
网络安全等级保护之安全物理环境
网络安全等级保护之安全区域边界
网络安全等级保护之安全通信网络
网络安全等级保护之安全计算环境
网络安全等级保护之安全管理中心
网络安全等级保护之安全管理制度
网络安全等级保护之安全管理机构
网络安全等级保护之安全管理人员
网络安全等级保护之安全建设管理
网络安全等级保护之安全运维管理
网络安全等级保护制度演进,回看2003年27号文
网络安全等级保护制度演进,回看2004年66号文
网络安全等级保护制度演进,回看2006年7号文(过渡性文件)
《等级保护条例》迎来最新进展
网络安全等级保护制度统一框架辨析
网络安全等级保护安全物理环境之防盗窃和防破坏实现
网络安全等级保护物理访问控制实现
信息安全技术 网络安全等级保护测评过程指南
夜读:GB 17859-1999安全保护等级划分准则
等级保护基本要求标准系列
等级保护的数据摸底调查
网络安全等级保护自查清单(对照法条)
由新《网安法》罚则看等级保护、应急安全责任
等级保护的数据摸底调查
以等级保护为中轴线/基础的网络安全监管体系发展
网络运营者等级保护合规自查表
信息安全技术 网络安全等级保护测评过程指南
网络安全等级保护全生命周期一览图
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:什么是等级保护?
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
工业控制系统安全:DCS风险与脆弱性检测要求思维导图
工业安全远程访问渐增引发企业担心
工业巨头 ABB 确认勒索软件攻击、数据盗窃
去年针对工业组织的勒索软件攻击增加了一倍
标准下载:工业控制系统信息安全防护能力成熟度模型GB/T 41400-2022
>>>数据安全<<<
如何共建数据合规治理平台,确保用户数据安全?
数据安全:数据访问治理完整指南
良好数据安全实践推动数据治理的 7 种方式
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图
什么是数据安全态势管理 (DSPM)?
5个常见的数据安全陷阱以及如何避免
数据安全知识:数据库安全威胁
数据安全知识:不同类型的数据库
数据安全知识:数据库简史
数据安全知识:什么是数据出口?
数据安全知识:什么是数据治理模型?
>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
网络安全知识:绘制供应链图
网络安全知识:评估供应链管理实践
网络安全知识:评估供应链安全
网络安全知识:供应链攻击4个示例
网络安全知识:英国供应链安全指导12原则
组织网络弹性之旅第9部分:供应链和第三方
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
测试供应链安全的极限
美国NIST 供应链安全指南:10 条要点
软件供应链:黄金集装箱船
>>>其他<<<
网络安全十大安全漏洞
网络安全知识:什么是勒索软件?
Kali Linux 最佳工具之Nmap
云安全策略的10个关键要素
安全从组织内部人员开始
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
如何减少制造攻击面的暴露
来自不安全的经济、网络犯罪和内部威胁三重威胁
什么是渗透测试,能防止数据泄露吗?
SSH 与 Telnet 有何不同?
管理组织内使用的“未知资产”:影子IT
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:河南等级保护测评 何威风 何威风《零日漏洞引爆电信运营商千万级数据泄露事件》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。







评论