インターネットイニシアティブ(IIJ)は2025年4月22日、同社が4月15日に公表したクラウド型メールセキュリティサービス「IIJセキュアMXサービス」への不正アクセス事案の原因と情報漏洩の状況を発表した。以前同サービスがオプションで提供していたWebメールソフト「Active! mail」に含まれていたバッファオーバーフローの脆弱性を突かれたという。Active! mail開発元のクオリティアは、同脆弱性を修正したバージョンを4月16日に公開済みである。
インターネットイニシアティブ(IIJ)は、2025年4月15日付けのプレスリリースで、クラウド型メールセキュリティサービス「IIJセキュアMXサービス」のサービス設備が2024年8月3日以降に不正なアクセスを受けたことによる情報漏洩事案を発表した。それによると、サービス設備上で不正なプログラムが実行され、同サービスで送受信された電子メールのアカウント・パスワード、メッセージなどが漏洩した可能性があることを4月10日に確認したという。
IIJセキュアMXサービスは、企業のメール中継サーバーをクラウド型で提供するサービスである。ウイルス対策や迷惑メール対策など、受信メールに含まれる脅威に対策するセキュリティ機能に注力している(関連記事:IIJ、クラウド型メールセキュリティを強化、Deep Instinctの深層学習型ウイルス対策を標準で実装)。
IIJは上記の発表から1週間後、4月22日付けのプレスリリースで、当該の不正アクセス事案の原因を発表した。以前、IIJセキュアMXサービスがオプションで提供していたWebメールソフトウェア「Active! mail」に含まれていた、スタックベースのバッファオーバーフローの脆弱性を突かれたという。同オプションは2025年2月に提供を終了している。
なお、Active! mail開発元のクオリティアは、4月16日に同脆弱性を修正したバージョンを公開している。4月18日には、国内の脆弱性データベースであるJVN(Japan Vulnerability Notes)が緊急度の高い脆弱性として情報を公開している。同脆弱性はIIJセキュアMXサービスへの不正アクセスの発生から発覚のタイミングでは未発見のもので、今回の事案で初めて明らかになった。
IIJによると、不正アクセスの原因を発表した4月22日時点で、IIJセキュアMXサービスの全契約のうち情報が漏洩した事実を確認したユーザー契約数は以下のとおり。下記3項目の合計契約数から重複するユーザーを除外した契約数は586契約である。
- 同サービスで作成された電子メールのアカウント・パスワードの漏洩は132契約(第1報で漏洩の可能性があるとした電子メールアカウント407万2650件のうち31万1288件が該当)
- 同サービスを利用して送受信された電子メールの本文・ヘッダー情報の漏洩は6契約
- 同サービスと連携して動作するように設定されていた他社クラウドサービスの認証情報の漏洩は488契約
