セキュリティ

SECURITY

公開：2025-04-24

IIJセキュアMXサービスの情報漏えい調査結果を発表、586契約で被害確認、Active! mailの脆弱性が原因と判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IIJセキュアMXサービスで586契約の情報漏えいが判明
• 第三者製ソフトウェアの脆弱性が不正アクセスの原因
• Active! mailの緊急度の高い脆弱性が特定される

IIJセキュアMXサービスへの不正アクセスによる情報漏えいの詳細が判明

インターネットイニシアティブ（IIJ）は2025年4月22日、法人向けメールセキュリティサービス「IIJセキュアMXサービス」への不正アクセス事案について調査結果を発表した。4月15日の第一報で情報漏えいの可能性を公表していたが、その後の詳細な調査により586契約での情報漏えいが確認されたのである。^[1]

調査によって判明した被害の内訳は、電子メールのアカウント・パスワードが132契約、電子メールの本文・ヘッダ情報が6契約、他社クラウドサービスの認証情報が488契約となっている。メールアカウントの漏えいについては、第一報で可能性が指摘された4,072,650件のうち、311,288件で実際の漏えいが確認された。

不正アクセスの原因は、IIJセキュアMXサービスで利用していた第三者製ソフトウェア「Active! mail」の未知の脆弱性を悪用されたことによるものだった。この脆弱性は4月18日にJVNにおいて緊急度の高い脆弱性として情報が公開され、ソフトウェア製造元による改修が完了している。

情報漏えい被害の内訳

バッファオーバーフローについて

バッファオーバーフローとは、プログラムがメモリ上に確保された領域（バッファ）を超えてデータを書き込もうとする際に発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムのクラッシュや意図しない動作を引き起こす可能性がある
• 攻撃者による任意のコード実行を許してしまう危険性がある
• スタック領域での実行は特に深刻な脆弱性となる

今回のActive! mailの脆弱性は、不正アクセス発生時点では未発見のものであり、IIJセキュアMXサービスへの攻撃を通じて初めて明らかになった。この脆弱性は2025年2月までに提供終了したオプション機能に関連するものであり、現在はActive! mailを利用していない。

IIJセキュアMXサービスの情報漏えい事案に関する考察

今回の事案で特筆すべきは、未知の脆弱性が悪用されたという点と、発覚後の迅速な対応および詳細な情報開示である。IIJは被害状況を具体的な数値とともに公表し、影響を受けた顧客への個別の通知体制を整えることで、透明性の高い対応を実施している。

今後の課題として、サードパーティ製ソフトウェアの脆弱性管理がより重要になってくるだろう。特に法人向けサービスでは、複数のソフトウェアを組み合わせて提供することが一般的であり、各コンポーネントのセキュリティ品質の担保が必要不可欠となる。

再発防止に向けては、セキュリティ監視体制の強化だけでなく、使用するソフトウェアの定期的な脆弱性評価と更新プロセスの確立が求められる。また、今回のような未知の脆弱性に対しても迅速に対応できる体制づくりが重要だ。

参考サイト

1. ^ インターネットイニシアティブ. 「IIJセキュアMXサービスにおけるお客様情報の漏えいについてのお詫びとご報告 | IIJについて | IIJ」. https://www.iij.ad.jp/news/pressrelease/2025/0422-2.html, (参照 25-04-24).
1876

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧