ニュース
IIJ、決算発表で「セキュアMXサービス」の情報漏えいに関して谷脇社長が説明
2025年5月14日 08:30
株式会社インターネットイニシアティブ(IIJ)は5月13日、2025年3月期の通期決算発表とあわせて、4月に公表した「セキュアMXサービス」における顧客情報漏えいに関して、これまでの対応と現時点での状況について説明した。
同社社長の谷脇康彦氏は、「セキュアMXサービスを利用している多くのお客様にご迷惑をおかけした。お詫びを申し上げる」と述べ、「120%、200%の力で対応を図っていく」と語った。
IIJ セキュアMXサービスは、法人向けに提供するメールセキュリティサービスで、電子メールのサーバーおよびセキュリティ機能をアウトソーシングで提供してきた。
谷脇社長の説明によると、2024年8月3日に、最初のインシデントが発生しており、IIJがこれを認識したのが、2025年4月10日だったという。システムでアラートが上がったことで発覚したという。
同社では、顧客情報の一部が外部に漏洩した可能性があるとして、調査を開始するとともに、担当者から顧客への連絡を開始。4月15日にプレスリリースとして第一報を配信し、情報漏洩の概要や、漏洩した可能性がある情報および影響を受けた顧客に対して情報を公開した。
「この時点では絞り込みが難しいこともあり、情報が漏洩した可能性があるお客様の数を広く捉え、最大6493契約、メールアカウント数では407万2650件に達すると報告した。そこには、セキュアMXサービスを使用しているお客様に加えて、すでにサービスを解約したお客様も含まれている」という。
その後、ログの解析などを行った結果、セキュアMXサービスのオプションサービスに使用していた第三者によって開発されたソフトウェア(既報のとおり、株式会社クオリティアの「Active mail」)に、未知の脆弱性(ゼロデイ脆弱性)があり、それを悪用した攻撃によって、情報が漏洩したことを確定したという。脆弱性は不正アクセス発生から発覚のタイミングでは未発見のものだった。
「ゼロディによる攻撃であることがわかった。第三者製ソフトウェアに対して、修正プログラムが配布されないと、IIJだけでなく、このソフトウェアを利用しているほかの企業にも被害が及ぶことになる。まずは、なにが原因であるのかを外部に対して明確にすることなく、対応を進めていった」という。
IIJでは、JPCERTコーディネーションセンター(JPCERT/CC)と相談した上で、4月18日に、脆弱性対策情報ポータルサイトであるJVN(Japan Vulnerability Notes)を通じて、この事案に関する脆弱性情報を公開。この時点で、第三者のソフトウェア会社からも修正プログラムが配布されたという。
しかし、修正プログラムを適用するために、時間がかかると判断。時間的猶予を取るために、プレスリリースの配信を少し遅らせ、4月22日に、第二報として情報公開を行った。
ここでは、IIJ社内で継続的に調査を行った結果、情報が漏洩した可能性がある範囲を絞り込むことができ、586契約、31万1288件のメールアカウントが対象になると特定し、その内容を公表した。
谷脇社長は、「現時点でも、お客様への対応や説明を続けている。また、関係する行政機関に対して報告を行い、相談をしている」と述べた。総務省や警視庁、内閣サイバーセキュリティセンター(NISC)、個人情報保護委員会などとの連携を進めているという。
今後の対応については、「再発防止が極めて重要である。そのためのセキュリティ対策を強化している」とし、振る舞い検知(プログラムの不審な挙動を検知し、未知の脅威を検出する仕組み)とウェブアプリケーションの多層化(複数の防御層を設けることによるセキュリティ強化)を挙げた。「今回の事案は、ゼロディを利用して、個人情報が漏洩している。Living off the land(環境寄生型)と呼ばれるものであり、攻撃者がターゲットとなるシステムを侵害したあと、マルウェアなどを利用するのではなく、既存のツールを利用して情報を持ち出す手法である。そのため、極めて検知が難しいという部分がある。そこで振る舞い検知の強化を行うことで対策を図ることにした」と語る。
振る舞い検知は、2025年6月末までに実装する予定だという。「より効果的に検知を行えるように、知恵を使っていきたい」と述べた。
ウェブアプリケーションの多層化については、「多層化により、さらに検知の精度を高めることができる。技術的な検討事項もあるので、今月末までに実装の可能性について判断を行い、判断後に速やかに情報を提供する」としている。
さらに、この2つの対策以外にも追加的な対応を図る考えも示した。「考えられるセキュリティ対策強化に向けて、様々な施策を講じていく」と述べた。
なお、今回の情報漏洩が業績に与える影響については、「まだ途上であり、今後の対策費用もかかるが、既存の計画値のなかで十分対応が可能である。業績に大きな影響が出るものではない」と述べた。
最後に谷脇社長は「経済的な利得を狙ったサイバー攻撃もあれば、政治的な動機で動くサイバー攻撃もある。また、技術的水準も高くなっている。サイバー攻撃への対策は、関係するステークホルダーとの連携が、これまで以上に重要になるだろう。官民の連携、重要インフラ企業との連携も強めていく必要がある。また、効果的な新たな技術を、使いやすく、こなれた形にして提供し、多くのユーザー企業に使ってもらうようにすることも、IIJの役割だと考えている」と語った。
