IIJ、不正アクセスによるサイバー攻撃で最大400万件超のメールアカウントの情報が漏洩か

株式会社インターネットイニシアティブ（以下、IIJ）は2025年4月15日、法人向けメールセキュリティサービス「IIJセキュアMXサービス」において、不正アクセスによるサイバー攻撃で最大約400万件超のメールアカウント情報が外部に漏洩した可能性があることを公表しました。

2025年4月18日追記：Active! mail! でスタックベースのバッファオーバーフローの脆弱性 既にゼロデイ攻撃に悪用を確認(CVE-2025-42599)

サービス基盤に不正アクセス、メール本文や認証情報も対象

リリースによると、2024年8月3日以降、IIJセキュアMXサービスの設備に対して不正なアクセスが発生し、サービス設備上で不正なプログラムが実行されていたことが2025年4月10日に確認されました。

この結果、同サービスで送受信された電子メールの内容や、アカウント・パスワード、連携先クラウドサービスの認証情報などが漏えいした可能性があります。

IIJでは不正アクセスの確認後、速やかに攻撃経路を特定し遮断。現在は安全な運用状態に戻っているとしていますが、原因や影響範囲の詳細については引き続き調査中とのことです。

最大6,493契約・4,072,650アカウントに影響の可能性

影響が及ぶ可能性のある範囲は非常に広く、最大で6,493契約、メールアカウント数にして4,072,650件が対象とされています。

なお、すでにサービスの利用を終了している旧契約者も含まれており、これらの契約についても一定の情報が漏えいした可能性があるとしています。

漏えいの可能性がある情報の例

• 電子メールのアカウントおよびパスワード

• 電子メールの本文およびヘッダ情報

• 他社クラウドサービスとの連携に使用される認証情報

顧客への対応と注意喚起

IIJは現在、影響を受けた可能性がある契約者に対して個別に連絡を行っており、契約中の顧客には「IIJサービスオンライン」を通じた情報提供を実施しています。また、過去にサービスを利用していたが現在は契約がない顧客に向けても、専用の相談フォームを設置し、問い合わせを受け付けています。

セキュリティ事故専用お客様フォーム

同社は「今回の事象によりお客様に多大なるご迷惑をおかけしていることを深くお詫び申し上げる」とコメントし、今後は関係機関と連携の上、さらなる情報開示と再発防止策の強化に努めるとしています。

情報システム部門への注意喚起とセキュリティ 対策

本件は、セキュアな運用が求められるメールセキュリティサービスで発生した大規模な情報漏えい事案であり、クラウド連携やアウトソーシングサービスのリスク管理の重要性を改めて浮き彫りにしました。

情報システム部門は、以下のような対策を早急に講じることが推奨されます。

• メールアカウントの即時パスワード変更とMFA（多要素認証）の徹底

• 不審な通信のログ監視と影響範囲の特定

• クラウド連携サービスの認証情報の見直しと再発行

• 関連ユーザーへの注意喚起と教育の実施

• 今後の情報提供に基づく迅速な対応体制の構築

IIJのような大手プロバイダであっても、外部からのサイバー攻撃を完全に防ぐことは困難であり、企業は「前提とした侵害（Assume Breach）」の意識でセキュリティ体制を構築することが必要です。

参照

https://www.iij.ad.jp/news/pressrelease/2025/0415.html