IIJ、400万人分のメール内容など流出か　サイバー攻撃で

インターネットイニシアティブ（IIJ）は15日、外部からのサイバー攻撃を受けて同社が提供するサービス利用者約400万人分の情報が漏洩した可能性があると発表した。利用者はメールを送受信する際にウイルスを検知する同社のセキュリティーサービスを使っていた。現在は不正アクセスができないように対策を講じたとしている。

情報漏洩した可能性があるのは「IIJセキュアMXサービス」を使っている全ての顧客で、最大6493契約分、メールアカウント約407万人分が対象。電子メールのアカウントやパスワード、内容などが漏洩した可能性があるとしている。

IIJによると2024年8月3日以降に不正なアクセスを受け、25年4月10日に情報漏洩した可能性があることを確認した。既に該当するサーバーをネットワーク上から切り離しており、メールサービスは使用できる状態になったとしている。他のサービスにも影響があったかどうかについては確認を進めている。

不正アクセスの内容については関係機関と連携して調査をしている。不正な通信を検知した際に通常機能するアラートが出ていなかった。

IIJセキュアMXサービスは、メールのなりすましや誤送信を防ぐツールだ。06年に提供を開始し、同社メールサービスの主力ともいえる。

今回の事案では、メールの本文や、宛先や送信元を示す「ヘッダー」の情報が漏洩した点も特徴だ。同サービスは企業など法人向けのため、メールでやりとりした機密性の高い情報や、送受信した相手組織のメールアドレスが漏洩した恐れもある。

またIIJによると、同サービスと連携していた米グーグル、米マイクロソフトなどのクラウド型メールの認証情報も漏洩した可能性がある。放置すれば他社サービスへの不正アクセスという二次被害が生じる可能性もある。

IIJは認証情報が漏洩した可能性のある顧客に対し、パスワードの変更を個別によびかけている。ただ過去に利用していて現在は契約を停止している顧客もいるため「不明点があれば問い合わせをいただきたい」（同社）としている。

IIJ株は情報漏洩の発表が嫌気され、一時前日比11%（292円）安の2427円まで下落した。約8カ月ぶりの安値を付けた。

IIJは1992年設立で、インターネット接続サービスの先駆けの一つとしてネットワークの構築と運用に強みを持っていた。官公庁や企業などを顧客として多く抱えており、システム開発とネットワークサービスを組み合わせて提供することで業績を拡大してきた。