IIJセキュアMXサービスの情報漏洩疑いについてまとめる
2025年4月15日、株式会社インターネットイニシアティブ(IIJ)は、法人向けメールセキュリティサービス「IIJセキュアMXサービス」において、最大で6,493契約、約407万2,650件のメールアカウント情報が漏えいした可能性があると発表した。
IIJセキュアMXサービスの発表について
原因
IIJによると、2024年8月3日以降、同サービスの設備に対して不正アクセスがあり、不正なプログラムが実行されていたことが判明している。これにより、サービス上で送受信された電子メールの情報や認証情報が漏えいした可能性がある。原因および影響範囲については調査を継続しているが、2025年4月9日時点では続報がない状態となっている。
漏えいした可能性のある情報
- 電子メールのアカウント・パスワード
- 送受信された電子メールの本文・ヘッダ情報
- 他社クラウドサービスと連携して使用されていた認証情報
なおIIJは、2024年8月3日時点でサービスの利用を終了していた契約者も影響を受けた可能性があるとしている。
影響範囲
最大で6,493契約、約407万2,650件のメールアカウントが影響を受けた可能性があり、この中には既に契約を終了している利用者も含まれている。
公的機関への影響
公的機関の一部業務でも「IIJセキュアMXサービス」が利用されており、複数省庁などが影響を受けた可能性がある。現時点で、これらの団体からの情報漏えいは確認されていないが、注意喚起が行われている状態となっている。
対応状況
不正アクセスの経路を特定し、該当設備をネットワークから切り離し済み。現在は安全に利用可能な状態に復旧。影響を受けた可能性のある利用者には、担当者を通じて個別に案内を実施。過去にサービスを利用していた元契約者に対しても、専用の相談フォームを通じて連絡を受け付けいる。
Active! mailとの関係について
Active! mailとは
「Active! mail」は、トランスウエア(現クオリティア)が開発したビジネス向けWebメール製品で、2011年12月より、IIJセキュアMXサービスのオプション「メールボックスプラス」においてWebメール機能として採用されている。
セキュリティ事故との関連性
IIJからの調査結果がまだ発表されていないため不確定な情報ではあるが、「Active! mail」が関与していた可能性が各メディアやX等で懸念されている。
なお、「Active! mail」では2025年4月18日に、スタックベースのバッファオーバーフローの脆弱性(CVE-2025-42599)が存在していたことが分かっている。(最新アップデートにより解消)
追記:IIJの調査結果
4月22日に、IIJから調査結果の報告があった。これまでは情報漏洩の疑いであったが、実際に情報漏洩があった事が分かった。
https://www.iij.ad.jp/news/pressrelease/2025/0422-2.html
また、上述した「Active! mail」の脆弱性を突かれた事が原因という発表が正式になされた。
恐らくこれからは再発防止のフェーズに入っていくと思うので、これからも情報が上がり次第追記していこうと思う。
最後に
IIJセキュアMXサービスにしてもActive! mailにしても、日本企業ではかなり多く採用されているサービスであり、ここ数年の情報漏洩事故においては最大規模の影響となっている。はず。
原因はまだよくわかってないので何とも言えないが、今後は法人向けVPNサービスの導入がより広がっていきそうだ。
ここ最近こういった情報漏洩周りのニュースが多くなっているため、顧客情報を預かるような業務を行っている方だけでなく、プライベートでインターネット利用を行う方(=これを読んでいる方は全員)も、今一度「どういう環境で」「どう使うか」を考え、対策をして頂きたい。
そして最後に。個人的に今回の件は、しがらみが多い日本企業としてはかなり迅速だったように思っている。そもそもIIJがインシデントを検知できたのも、運用保守がうまく回っているからこそであるし、「Active! mail」を運営しているクオリティアも既に対策バージョンを提供している。
今回起こってしまった事を擁護することはできないが、こういう事件があった事で企業のレベルも一つ上がるという見方もあるし、同じIT業界に属する者として、これからの両社、そして両社のエンジニアを応援したい。
俺も頑張るよ、そんなに自信はねえけど。