IIJ、不正アクセスの続報を公表 Active! mailのゼロデイ脆弱性が原因：セキュリティニュースアラート

IIJは法人向けメールセキュリティサービス「IIJセキュアMXサービス」における不正アクセス事案について続報を公開した。原因は同サービスで利用していたクオリティアのWebメールシステム「Active! mail」の脆弱性によるものだったという。

[田渕聖人，ITmedia]

　インターネットイニシアティブ（以下、IIJ）は2025年4月22日、法人向けメールセキュリティサービス「IIJセキュアMXサービス」における不正アクセス事案について続報を公開した。

　同事案はIIJが2025年4月15日に明らかにしたものだ。同月15日の時点ではIIJセキュアMXサービスにおいて不正アクセスが発生し、顧客情報の一部が外部に漏えいした可能性があることが公表されていた。

不正アクセスの原因は、Active! mailのゼロデイ脆弱性

　IIJによると、不正アクセスの原因はIIJセキュアMXサービスで利用していたクオリティアのWebメールシステム「Active! mail」の脆弱（ぜいじゃく）性を悪用されたことによるものだという。

　今回悪用されたのは、Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性（JVN#22348866）だ。同脆弱性についてはクオリティアからもリリースが公開されている。

　これを悪用することで、遠隔の第三者が細工したリクエストを送信した場合、任意のコードを実行したり、サービス運用妨害（DoS）状態を引き起こしたりする可能性がある。なお、クオリティアは同脆弱性について「BuildInfo: 6.60.06008562」で対応済みのため、該当ユーザーは急ぎアップデートが推奨される。

　IIJは、同脆弱性について「不正アクセス発生から発覚のタイミングでは未発見のものであり、今回の事案を通じて初めて明らかになった」と報告している。この他、IIJセキュアMXサービスにおいて、Active! mailによるオプション機能は2025年2月をもって提供終了しており、現在製品自体利用されていないという。

　IIJは情報漏えいの事実が確認された顧客契約数も明らかにした。対象となった契約数は586契約で、電子メールのアカウント・パスワードの漏えいが132契約（電子メールアカウントのみの漏えいも含む）、電子メールの本文・ヘッダ情報の漏えいが6契約、同サービスと連携していた他社クラウドサービスの認証情報の漏えいが488契約とされている。

　契約がある顧客にはIIJから個別に報告済みだ。同社との契約がなく、過去にIIJセキュアMXサービスを利用していた顧客向けには相談フォームが用意されている。

　IIJは再発防止に向けて、セキュリティ対策や監視体制強化の検討を進めている他、引き続き、関係機関と連携して対応を実施するとしている。