2025年4月15日、通信事業者のインターネットイニシアティブは、法人向けのメールセキュリティサービスが不正アクセスを受け、顧客情報が外部へ流出した可能性(続報でこのうち一部は流出確定と報告)があると公表しました。その後、当該サービスで利用していたソフトウエアの脆弱性が悪用されたことが原因であったことを明らかにしています。ここでは関連する情報をまとめます。
一部のサービス利用組織でメール本文流出
- 不正アクセスを受けたのはインターネットイニシアティブ(以降IIJと表記)が法人向けに提供しているクラウドのメールセキュリティサービス「IIJセキュアMXサービス」で利用する設備。当該サービスは、メールサーバーとセキュリティ機能をセットにしたアウトソーシングサービスとして提供されており、このサービスを利用する多数の顧客企業に影響が及んだ。
- 当該サービスでは2025年2月までクオリティアのWebメールソフト「Active! mail」をサービスのオプションとして提供する機能に利用しており、IIJはこのソフトウエアに存在する脆弱性を介してサービス中で使用される情報の一部が流出した事実を確認した。流出が確認された具体的な情報は以下の通り。
| 流出が確認された情報 | 対象顧客契約件数 |
|---|---|
| メールアカウント、パスワード | 132契約 |
| メール本文、ヘッダ情報 | 6契約 |
| 他社クラウドサービス認証情報 (当該サービスと連携設定されたもの) |
488契約 |
| 合計顧客件数 | 586件 |
- またIIJが公表を行った影響件数について、第1報(公表時点で影響が否定できない最大範囲)および第2報(流出事実が確認された範囲)それぞれで説明のあった契約件数などの数については以下の通りで、第1報で公表された範囲と比較して10分の1以下となった。一方で同社は当該サービス上で過去に利用していた顧客情報も一部(メールアカウント、他社クラウド認証情報)を設備上で保管していたとみられ、不正アクセス以前にサービスを解約していた顧客にも影響が及んだことを明らかにしている。
| 対象項目 | 第1報(最大影響範囲) | 第2報(流出範囲特定) |
|---|---|---|
| 影響のあった顧客契約件数 | 最大6,493契約 | 586契約 |
| メールアカウント件数 | 最大4,072,650件 | 311,288件 |
- piyokangoは今回の不正アクセスを受けて、当該サービスを利用する184の組織から関連する公表事例を確認している。IIJの第1報時点で流出可能性のある対象として当該サービス利用組織(過去利用も含む)すべてとなっていたこと、さらにメールの本文も流出可能性の対象に含まれていたことなどもあって、金融やサービスなどB2C事業を展開する組織を中心に多数の公表が行われていた。
- 一方で公表されている事例はいずれもIIJの調査結果を受けて不正アクセスによる影響は確認されなかった(またはその対象ではなかった)とするものであって、IIJが第2報で公表したメール本文の流出など今回の不正アクセスによる具体的な影響が確認されたと説明する公表事例は確認することができなかった。
ゼロデイとLotLによる攻撃
- 当該サービスへの不正アクセスは2024年8月からの発生が確認されているが、不正通信時に通常機能するアラートは出ていなかったと報じられており、約8か月間にわたり攻撃者による侵害活動をIIJは検知できておらず、攻撃の手口から早期検知は難しい事例であったと説明する。*1 なお、同社は第1報において4月10日に設備上で不正なプログラムの実行を確認したとも説明。不正アクセスの発覚についてはシステム上で発せられたアラートがきっかけであったとしている。
- 悪用されたAcitve! mailの脆弱性はCVE-2025-42599として識別されるスタックベースのバッファオーバーフローの脆弱性で、悪用が確認された際にはまだクオリティアが把握していなかったゼロデイの状況であった。Active! mail 6 BuildInfo: 6.60.05008561およびそれ以前のバージョンが影響を受け、2025年4月16日に修正版がリリースされている。
- 脆弱性の深刻度は緊急レベル(CVSSv3基本値は9.8)で、悪用された場合の影響として事前認証されていない攻撃者により、細工されたリクエストを送信されることで、任意のコードを実行されたり、DoS(サービス妨害)状態を引き起こされたりする恐れがあるとクオリティアは説明する。
- クオリティアによれば、脆弱性への対応策は修正版(2025年4月16日以降に公開されたバージョン)へのアップデート。またJPCERT/CCはすぐに更新が行えない場合の軽減策として、WAFを使用した対策も影響を軽減できる可能性があるとしてHTTPリクエストボディの検査有効化や「multipart/form-data」ヘッダーのサイズが一定以上で遮断などの対応を紹介している。
- 過去攻撃を受けていたかについて、調査方法についてクオリティアは確認済みとしつつ、手順が煩雑であり顧客側で調査完結が可能となる手順の開示は困難と判断し、サポートセンターへ依頼するよう問い合わせフォームへの案内を行っている。またJPCERT/CC
は今後更新情報をもとに調査を行えるよう、必要なログの保全を行うことを推奨している。
- IIJは今回の不正アクセスを受けて、振る舞い検知の強化(2025年6月末までの実装)とWAFの多層化検討(2025年5月末までに実装可否判断)の2つを恒久対策として検討を進めていると説明している。今回の不正アクセスはLiving off the land(LotL)と呼称されるシステム内に既に存在するツール類を悪用した攻撃が確認されているためで、同社によればこの攻撃は極めて検知が難しく、振る舞い検知の強化を進めた理由はこれを受けたものと同社社長が説明をしている。*2
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2024年8月3日 | 攻撃者がIIJセキュアMXサービス内で利用するActive! mailの脆弱性を悪用し、不正アクセスを開始。 |
| 2025年4月10日 | IIJがIIJセキュアMXサービスの設備上で不正なプログラムの実行を確認。 |
| 同日 | IIJが当該サービス利用組織へ連絡を開始。 |
| 2025年4月15日 | IIJがIIJセキュアMXサービスへの不正アクセスについて公表。(第1報) |
| 2025年4月16日 | クオリティアがActive! mailの不具合修正版をリリース。 |
| 2025年4月18日 | クオリティアが16日リリース版は深刻な脆弱性を修正したものとセキュリティ情報を公開。 |
| 同日 | JPCERT/CCがActive! mailの脆弱性に対する注意喚起を発出。 |
| 2025年4月22日 | IIJが情報流出の事実が確認された顧客を特定したと公表。(第2報) |
| 2025年5月13日 | IIJが決算発表の記者会見で再発防止策などを公表。 |
関連公表
インターネットイニシアティブ
- 2025年4月15日 IIJセキュアMXサービスにおけるお客様情報の漏えいについて
- 2025年4月22日 IIJセキュアMXサービスにおけるお客様情報の漏えいについてのお詫びとご報告
- 2025年5月13日 [PDF] FY24決算サマリーおよび今後の成長戦略説明資料
- 2025年5月30日 wizSafe Security Signal 2025年4月 観測レポート
クオリティア
- 2025年4月16日 【緊急告知】本日、弊社製品であるActive! mailに不具合対応の修正版がリリースされました。
- 2025年4月18日 【更新】Active! mail 6の脆弱性に関する重要なお知らせ
JPCERT/CC
更新履歴
- 2025年5月31日 AM 新規作成
*1:IIJの谷脇社長が情報漏洩を謝罪、LotL攻撃踏まえ振る舞い検知を強化へ,日経クロステック,2025年5月13日
*2:IIJ、決算発表で「セキュアMXサービス」の情報漏えいに関して谷脇社長が説明,InternetWatch,2025年5月14日
