IIJのニュースリリース
インターネットイニシアティブ(IIJ)は4月22日、法人向けメールセキュリティサービス「IIJセキュアMXサービス」における不正アクセス事案について、調査結果を発表した。
本件は2024年8月3日以降、「IIJセキュアMXサービス」の設備が不正アクセスを受け、当該サービスの設備上で不正なプログラムが実行されていたというもの。
同社は2025年4月15日付けで不正アクセスの事実を発表しており、今回はその続報として、より詳しい内容が明らかとなった。
4月22日時点で判明している被害状況は、以下のとおり。
●被害状況
■被害対象顧客数(被害内容の重複を除外したもの)
・586契約
■被害の内容と対象契約数
・メールのアカウント、パスワードの漏えい:132契約
・送受信されたメールの本文、ヘッダー情報の漏えい:6契約
・連携クラウドサービスの認証情報の漏えい:488契約
不正アクセスは同社が利用していた「Active! mail」の脆弱性を突く形で実行されたが、事案発生時点では同脆弱性は未発見だった。なお、IIJセキュアMXサービスでは、この脆弱性に関連するオプション機能の提供を2025年2月に終了している。
IIJは被害を受けた顧客への案内について、現在も契約中の顧客は同社の担当者経由で、過去に契約していた顧客はウェブの専用相談フォーム経由で、対応を進めているという。
同社は今後も関係機関との連携を継続しつつ、再発防止に向けたセキュリティ対策と監視体制の強化を検討する方針だ。
■関連サイト
