インターネットイニシアティブ(IIJ)は4月15日、法人向けメールセキュリティサービス「IIJセキュアMXサービス」に不正アクセスがあり、過去の利用者を含む同サービスの全顧客の情報が漏えいした可能性があると発表した。既に対策を講じ、現在は同サービスを安全に利用できる状態だと説明している。
IIJセキュアMXサービスは、同社がメールサーバーとセキュリティ機能を提供するアウトソーシングのサービス。情報漏えいの可能性がある顧客は、最大で6493契約、メールアカウント数では407万2650件。漏えいの可能性のある情報は、(1)当該サービスで作成された電子メールのアカウントやパスワード、(2)当該サービスで送受信されたメールの本文やヘッダー情報、(3)当該サービスと連携して動作するように設定されていた他社クラウドサービスの認証情報――のうち、利用者がそれぞれに利用している機能に関する情報となる。
また、2024年8月3日時点で利用が終了している契約については、(1)当該サービスで作成されたメールのアカウント、(2)当該サービスと連携して動作するように設定されていた他社クラウドサービスの認証情報――のうち、サービス契約中に利用していた機能に関する情報が該当するという。
同社によると、当該サービスが2024年8月3日以降に不正アクセスを受け、サービス提供設備上で不正プログラムが実行されていたことが判明し、上記の情報が漏えいした可能性が判明した。現在は不正アクセスの経路を特定して切り離しを行い、安全を確保したとする。原因と影響範囲の調査を続けている。
同社では、当該サービスを契約中の顧客に今回の事象を担当者から説明しているとし、既に契約を終えてサービスを利用していない対象者には、ウェブサイトのフォームから問い合わせてほしいとしている。
