IIJ セキュアMXサービスへのサイバー攻撃でメールアドレス約31万件と586契約の情報漏洩を確認-IIJ

2025年4月22日、株式会社インターネットイニシアティブ（以下、IIJ）は、法人向けメールセキュリティサービス「IIJセキュアMXサービス」に対して発生した不正アクセスによるサイバー攻撃に関し、影響範囲の確定と原因を続報で発表しました。

続報ではメールアドレス約31万件と132契約の情報漏洩を確認したとしています。

実際に情報漏えいが確認された契約数は586件

第一報では最大6,493契約、メールアカウント約407万件が漏えいの可能性ありとされていましたが、続報では以下の通り、実際に漏えいが確認された件数が明らかになりました。

漏えい内容の種別	実被害が確認された契約数
メールアカウントとパスワード	・132契約 ・311,288件
メール本文・ヘッダ情報	6契約
クラウド連携の認証情報	488契約
※重複を除いた合計	586契約

被害にあったアカウントの中には、アカウント情報のみが漏えいしたものも含まれているほか、連携された他社クラウドサービスの認証情報が抜き取られたケースも多数確認されています。

原因は第三者製ソフト「Active! mail」の未発見ゼロデイ脆弱性

不正アクセスの原因は、IIJセキュアMXサービスで使用されていた第三者製ソフト「Active! mail」に存在していた未発見の脆弱性（CVE-2025-42599）でした。

この脆弱性は、スタックベースのバッファオーバーフローにより、攻撃者が任意コードを実行できるという深刻なもので、不正アクセス発覚後に初めて明らかになったゼロデイです。

• JVN脆弱性ID：JVN#22348866/（CVE-2025-42599）

• 公開日：2025年4月18日

• 対象製品：Active! mail（オプション機能としてセキュアMXで利用）

• CVSS v3スコア：9.8（緊急）

なお、IIJはこのソフトを2025年2月時点でサービスから除外しており、現在は当該ソフトウェアを使用していないとしています。

情報システム部門への注意喚起とセキュリティ 対策

本件は、セキュアな運用が求められるメールセキュリティサービスで発生した大規模な情報漏えい事案であり、クラウド連携やアウトソーシングサービスのリスク管理の重要性を改めて浮き彫りにしました。

情報システム部門は、以下のような対策を早急に講じることが推奨されます。

• メールアカウントの即時パスワード変更とMFA（多要素認証）の徹底

• 不審な通信のログ監視と影響範囲の特定

• クラウド連携サービスの認証情報の見直しと再発行

• 関連ユーザーへの注意喚起と教育の実施

• 今後の情報提供に基づく迅速な対応体制の構築

IIJのような大手プロバイダであっても、外部からのサイバー攻撃を完全に防ぐことは困難であり、企業は「前提とした侵害（Assume Breach）」の意識でセキュリティ体制を構築することが必要です。