IIJ、不正アクセスの情報漏洩は約31万件　原因はActive! mailの脆弱性

インターネットイニシアティブ(IIJ)は、法人向けのメールセキュリティサービス「IIJセキュアMXサービス」への不正アクセスで情報漏洩が発生していた件について、調査結果を公表した。

不正アクセスの事案は4月15日に第一報が公表されており、今回は改めての謝罪とともに、その後の調査結果について報告されている。

「IIJセキュアMXサービス」で作成された電子メールのアカウント・パスワードの漏洩は、132契約だった。電子メールアカウント数は31万1,288件。一部は電子メールアカウントのみの漏洩としている。

また、同サービスを利用して送受信されたメール本文とヘッダ情報の漏洩は6契約だった。同サービスと連携して動作するよう設定されていた他社クラウドサービスの認証情報の漏洩は488契約。

これら3つの合計から重複を除外すると、情報漏洩の対象になる契約は586契約としている。

対象の法人ユーザーにはIIJの担当者が案内を実施する。管理者はオンラインでも案内の内容を確認できる。過去に対象サービスを利用していたユーザーには相談フォームの利用を案内している。

問題になった「IIJセキュアMXサービス」は、クラウド上でメールのセキュリティを強化する統合メールセキュリティサービス。

未発見の脆弱性

2024年8月3日以降に発生したという不正アクセスの原因については、IIJセキュアMXサービスで利用していた第三者製のソフトウェア(クオリティアのActive! mail 6)の脆弱性を悪用されたことによるものとしている。

この脆弱性は当時未発見で、本件で初めて明らかになり、その後クオリティアによる改修が完了、4月18日に脆弱性情報が公開されている。

なお、IIJセキュアMXサービスにおいて、当該のソフトウェアによるオプション機能は2025年2月で提供を終了しており、現在は利用されていない。

IIJでは再発防止に向け、セキュリティ対策と監視体制の強化について検討を進める。引き続き、関係機関と連携した対応を実施し、新たに知らせるべき内容が判明した際は、速やかに情報を開示するとしている。