IIJ、「セキュアMXサービス」不正アクセスで続報～31万件あまりの漏えい確認、原因は第三者製ソフトウェア「Active! mail」の脆弱性

　株式会社インターネットイニシアティブ（IIJ）は4月22日、先に情報を公開していた情報漏えいの可能性について続報を広報した。

　同社が提供する法人向けメールセキュリティサービス「IIJセキュアMXサービス」への不正アクセスと情報漏えいの可能性について、4月15日に情報を公開（第一報）していたもの。

　その後の調査により、132契約でのメールアカウントおよびパスワードの漏えいが確認された。これは、第一報で漏えいの可能性があるとされた407万2650件のうち、31万1288件に相当する。

　このほか、送受信されたメールの本文・ヘッダ情報の漏えいが6契約、連携して動作するように設定されていた他社クラウドサービスの認証情報が488契約確認された。重複を除き、漏えいが確認された契約数は586件となる。

　今回の発表では、不正アクセスの原因も説明された。第三者製ソフトウェアの脆弱性の悪用によるもので、対象は株式会社クオリティアの「Active mail」。

　なお、本脆弱性については、脆弱性プラットフォーム「JVN」（Japan Vulnerability Notes）、およびクオリティアも情報を公開している。

　脆弱性の対象は「Active! mail 6 BuildInfo: 6.60.05008561」およびそれ以前のバージョンで、スタックベースのバッファオーバーフローの脆弱性により、遠隔の第三者によって細工されたリクエストを送信された場合、任意のコードが実行、サービス運用妨害（DoS）状態を引き起こされるなどの可能性がある。CVSS v3のスコアは9.8。

　開発者によると、最新版の「Active! mail 6 BuildInfo: 6.60.06008562」で本脆弱性は修正されている。利用者は、ただちに現在版へ更新してほしい。