2025年11月5日、ハッキングフォーラムでハッカーがIIJからデータを窃取したと主張し、Xでも一部拡散されましたがIIJ公式でもOSSファイル配布用のFTPへのアクセスのみであった事を発表しています。セキュリティ対策Labで確認したところ機密情報や個人情報などもなく、ハッカーの主張はいわゆる「飛ばし」でした。
IIJ公式発表
2025年11月5日昼過ぎ、サイバー攻撃グループを名乗る人物が「IIJからソースコードを盗み出した」という趣旨の投稿を行いました。 その投稿に添付されたファイルは、当社が設置する公開ftpサーバ(OSSなどの配布用)にある、IIJ以外の開発グループが作成したファイルと同一であることを確認しています。
引用:公式X
ハッカーが窃取したと主張したソースコードの中身
本件をセキュリティ対策Labで確認したところ、公式の発表通りIIJへの侵害したとするような内容はありませんでした。
ソースコードの自体もかなり古く、また現在あまり利用されていないプログラミング言語でさらに目視とファイルを社名やinc,iij,japan,jpなど複数のキーワードでGrepしても該当するような表記も存在しませんでした。
また、個人情報に関するデータも無く、そもそも法人や団体からの窃取も確認できませんでした。
過去、メルマガのみで注意喚起している通り、ランサムウェアグループやハッカーは自身の功績を大げさに吹聴する事もありますので、SNSでの拡散行動にはご注意ください。
関連記事
IIJへの不正アクセスによるサイバー攻撃、Active! mailのゼロデイ脆弱性を悪用か(CVE-2025-42599)
IIJ、不正アクセスによるサイバー攻撃で最大400万件超のメールアカウントの情報が漏洩か
情報システム研究機構が不正アクセスされるが「脅迫は無意味」
Active! mail6のゼロデイ 脆弱性はサイバー攻撃による侵害は確認されず
総務省がIIJへ行政指導、サイバー攻撃による情報漏洩で再発防止策を要請
国立国会図書館の開発環境に不正アクセス 一部利用者の個人情報漏洩の可能性-IIJの再委託先 ソリューション・ワンのインシデントが影響
ハッカーが愛知県のパンのトラから不正アクセスした個人情報の販売を主張-2024年のサイバー攻撃で漏洩した個人情報か
北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
日本の金融機関を標的としたフィッシングによる大規模なサイバー攻撃-フィッシングキット「CoGUI」を利用か
