IIJへの不正アクセスによるサイバー攻撃、Active! mailのゼロデイ脆弱性を悪用か(CVE-2025-42599)

日経新聞の報道によると、2025年4月18日、インターネットイニシアティブ（IIJ）に対するサイバー攻撃に関し、新たな事実が浮かび上がりました。メールサービスに利用されていたクオリティア社のWebメールシステム「Active! mail」に、開発元すら把握していなかったゼロデイ脆弱性（CVE-2025-42599）が存在し、この欠陥を突いた侵入の可能性が指摘されています。

2025年4月22日追記：IIJ セキュアMXサービスへのサイバー攻撃でメールアドレス約31万件と586契約の情報漏洩を確認

IIJメールサービスからの情報流出、原因はゼロデイ脆弱性か

IIJは4月15日に、同社が提供するメールサービスにおいて、最大400万人分の個人情報が流出した可能性があると公表しました。関係者によると、この攻撃において「Active! mail」のサーバーに不正アクセスの痕跡が確認されたとされ、システムの未知の欠陥（ゼロデイ）が悪用された可能性が高まっています。

IIJ側は「現時点ではコメントできない」としていますが、クオリティア社は16日に公式サイト上で脆弱性を修正した新バージョンの適用を呼びかける緊急対応を実施。JPCERT/CCも18日に、この脆弱性を突いた攻撃が既に発生していることを確認し、警告を発出しています。

メールアドレス約31万件と586契約の情報漏洩を確認：4月22日

IIJは4月22日の続報でIIJ セキュアMXサービスへのサイバー攻撃で約400万人分の内メールアドレス約31万件と586契約の情報漏洩を確認した事を発表しました。

CVSSスコア9.8「緊急」評価、CVE-2025-42599とは？

2025年4月18日に公開された脆弱性CVE-2025-42599は、Active! mail 6 BuildInfo: 6.60.05008561以前のバージョンに影響を与えるスタックベースのバッファオーバーフローです。

CVSS v3による深刻度スコアは9.8（緊急）で、最も高いリスク評価に該当します。

想定される被害

• 遠隔からの任意コード実行（RCE）

• サービス停止（DoS）

• 踏み台として他システムへの横展開

既に実際の攻撃で悪用されていることから、「ゼロデイ攻撃」としての性質を帯びており、極めて危険な状態です。

Active! mailの導入実績と広がる懸念

「Active! mail」は、IIJをはじめとして中央官庁、地方自治体、大手通信企業などに多数導入されている実績があり、今回のインシデントは日本国内の複数の公共・民間機関に波及する可能性を孕んでいます。

インシデントの調査で、IIJのサーバーには2024年8月3日以降の不正アクセスの痕跡が確認されており、数カ月にわたり情報が窃取された可能性も否定できない状況です。

ゼロデイの脅威と闇市場の存在

開発元すら認知していない脆弱性は「ゼロデイ（0-day）」と呼ばれ、その情報は数百万円から数千万円単位で売買されることもあるサイバー犯罪の温床です。

近年では、APT（高度持続的脅威）グループや国家レベルの攻撃者もゼロデイを積極的に活用する傾向が強まり、米GoogleのMandiantなどが報告する通り、ゼロデイを起点としたインシデントは年々増加しています。

システム管理者・利用者が取るべき対応

今回の脆弱性に関する対応バージョンは以下の通りです。

• 修正済バージョン：Active! mail 6 BuildInfo: 6.60.06008562

【推奨アクション】

• すぐに最新版へのアップデートを実施

• WAFやEDRによる不審な通信や挙動の検知

• システムログの定期的な監査・調査

• 今後のリスクに備えたゼロトラストモデルの構築

ゼロデイ時代に求められる「検知と対応」の即応力

今回のようなゼロデイ脆弱性を突いた攻撃は、もはや「いつ起きてもおかしくない」日常的なリスクです。セキュリティ担当者は、最新の脆弱性情報の収集とともに、EDRやXDR、SIEMといった高度な監視・分析基盤の導入によって「事後対応」から「予兆検知」への移行を検討すべき時期に来ています。

また、脆弱性管理体制そのものも、ソフトウェア資産管理の可視化と、ベンダー連携を強化するCSIRT体制の整備が不可欠です。

参照

IIJサイバー攻撃、「Active! mail」から侵入か