2025年7月18日、総務省は株式会社インターネットイニシアティブ(IIJ)に対して、「通信の秘密」保護に関する行政指導を実施したことを発表しました。
対象となったのは、同社が提供する法人向けメールホスティングサービス「IIJセキュアMXサービス」におけるサイバー攻撃による情報漏洩事案です。
この指導は、電気通信事業法第4条第1項に基づくもので、同法が保護する「通信の秘密」が実質的に侵害されたと総務省が認定したものです。
総務省の指導内容と今後の方針
今回の事案を受け、総務省はIIJに対し以下の対応を文書により要請しました。
-
通信の秘密保護体制の再点検と強化
-
未知の脆弱性に対する防御能力の向上
-
インシデントの早期検知能力の確立
-
業界全体への波及を見据えたセキュリティ水準の底上げへの取組
導の背景:ゼロデイ攻撃による外部侵入と情報流出
IIJが提供する「IIJセキュアMXサービス」では、2024年8月3日から2025年4月17日までの間に外部からの不正アクセスが発生し、メールアカウント情報や本文、クラウド認証情報などが漏えいしたことが明らかになっています。
この攻撃は、サービス内で利用されていたサードパーティ製ソフトウェア「Active! mail」に存在していたゼロデイ脆弱性(CVE-2025-42599)を突かれたもので、深刻度はCVSSスコア9.8(緊急)とされています。
実際の被害範囲(2025年4月時点でのIIJの続報)
-
メールアドレス+パスワード:132契約・約31万件
-
メール本文・ヘッダ情報:6契約
-
クラウド連携の認証情報:488契約
-
漏えいが確認された契約の総数(重複除く):586契約
当初、最大6,493契約・約407万件のアカウントに影響の可能性があるとされていましたが、詳細な調査の結果、上記件数が実被害として確定されました。
参照
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000259.html








