言い換えれば、1つのシステムが複数のISPのメールサービスを支える「共通エンジン」の役割を果たしていたのである。そのため、一度侵害されると、1社だけではなく複数のISPへ同時に被害が広がる結果となった。
第一報で特に気になったのが、パスワードに関する記述である。KDDIは、「パスワードには、ハッシュ化・暗号化されたものも含みます。」と説明していた。一見すると何気ない文章だが、セキュリティの専門家にとっては非常に気になる表現だった。
通常、メールシステムではパスワードはハッシュ化して保存される。ハッシュ化とは、一方向の計算によって元の文字列へ戻せないよう加工する方法であり、仮にデータベースが漏洩しても元のパスワードを知ることは極めて困難である。
一方、暗号化は復号鍵があれば元に戻せる方式であり、用途によって利用されることもある。しかし、「ハッシュ化・暗号化されたものも含みます」という表現は、その裏を返せば、それ以外の形式で保存されていたパスワードが存在した可能性も否定していないことになる。
もちろん、これだけで入力した文字がそのまま保存される平文(ひらぶん)保存だったと断定することはできない。しかし、この一文が多くの専門家の関心を集めた理由でもある。
「ゼロデイ攻撃だった」…第二報で見えてきた被害の実態
その後、7月6日に公表された第二報では、影響範囲がさらに明らかになった。漏洩が確認されたメールアドレスは約1223万件、そのうち約761万件はパスワードも漏洩していたという。
さらに興味深いのは、すべてのISPが同じ被害を受けたわけではなかったことである。STNet、ビッグローブ、中部テレコミュニケーション、ニフティでは、メールアドレスだけでなくパスワードも大量に漏洩していた。一方、JCOMやKDDIウェブコミュニケーションズでは、メールアドレスの漏洩が中心であり、パスワード漏洩は極めて限定的だった。
これは、同じメール基盤を利用していても、各社ごとの運用方法や認証情報の管理方法に違いがあった可能性を示している。

