インターネットイニシアティブ(IIJ)は4月15日、2025年4月10日に法人向けメールセキュリティサービス「IIJセキュアMXサービス」で顧客情報の一部が外部に漏えいした可能性を確認したと発表した。問題の発端は、2024年8月3日以降にサービス設備が不正アクセスを受け、不正なプログラムが実行されていたことにある。この影響で、サービス上で送受信された電子メールの情報や認証情報が漏えいした可能性があるという。
漏えいの可能性がある契約数は最大6493件、メールアカウント数は407万2650件にのぼる。これはIIJセキュアMXサービスの全契約者が対象となる規模だ。不正アクセス発生時点でサービス利用を終了していた顧客も含まれる。
漏えいした可能性がある情報は、メールアカウントや、パスワード、送受信されたメールの本文やヘッダ情報、他社クラウドサービスの認証情報など、契約内容や利用機能によって異なる。2024年8月3日時点で利用を終了していた契約については、メールアカウントや他社クラウドサービスの認証情報が対象となる。
IIJは不正アクセスの経路を特定し、切り離しを実施したことで、現在は安全にサービスを利用できる状態だと説明している。原因や影響範囲については引き続き調査中だ。現在契約中の顧客には担当者から個別に案内を行っており、過去にサービスを利用していた顧客も相談フォームから問い合わせが可能となっている。IIJは関係機関と連携し、今後新たな情報が判明した場合は速やかに公表するとしている。
