総務省がIIJへ行政指導、サイバー攻撃による情報漏洩で再発防止策を要請

セキュリティニュース

投稿日時: 更新日時:

総務省がIIJへ行政指導、サイバー攻撃による情報漏洩で再発防止策を要請

2025年7月18日、総務省は株式会社インターネットイニシアティブ(IIJ)に対して、「通信の秘密」保護に関する行政指導を実施したことを発表しました。

対象となったのは、同社が提供する法人向けメールホスティングサービス「IIJセキュアMXサービス」におけるサイバー攻撃による情報漏洩事案です。

この指導は、電気通信事業法第4条第1項に基づくもので、同法が保護する「通信の秘密」が実質的に侵害されたと総務省が認定したものです。

総務省の指導内容と今後の方針

今回の事案を受け、総務省はIIJに対し以下の対応を文書により要請しました。

  • 通信の秘密保護体制の再点検と強化

  • 未知の脆弱性に対する防御能力の向上

  • インシデントの早期検知能力の確立

  • 業界全体への波及を見据えたセキュリティ水準の底上げへの取組

導の背景:ゼロデイ攻撃による外部侵入と情報流出

IIJが提供する「IIJセキュアMXサービス」では、2024年8月3日から2025年4月17日までの間に外部からの不正アクセスが発生し、メールアカウント情報や本文、クラウド認証情報などが漏えいしたことが明らかになっています。

この攻撃は、サービス内で利用されていたサードパーティ製ソフトウェア「Active! mail」に存在していたゼロデイ脆弱性(CVE-2025-42599)を突かれたもので、深刻度はCVSSスコア9.8(緊急)とされています。

実際の被害範囲(2025年4月時点でのIIJの続報)

  • メールアドレス+パスワード:132契約・約31万件

  • メール本文・ヘッダ情報:6契約

  • クラウド連携の認証情報:488契約

  • 漏えいが確認された契約の総数(重複除く):586契約

当初、最大6,493契約・約407万件のアカウントに影響の可能性があるとされていましたが、詳細な調査の結果、上記件数が実被害として確定されました。

参照

https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000259.html