インターネットイニシアティブ(IIJ)は4月22日、法人向けメールセキュリティサービス「IIJセキュアMXサービス」に発生した不正アクセスについて、その後の調査の結果を発表した。
IIJセキュアMXサービスは、同社がメールサーバーとセキュリティ機能を提供するアウトソーシングのサービス。同月15日の発表で、情報漏えいの可能性がある顧客は、最大で6493契約、メールアカウント数では407万2650件としていた。
今回、情報が漏えいした事実が確認された契約数は、(1)当該サービスで作成された電子メールのアカウントやパスワードが132件、(2)当該サービスで送受信されたメールの本文やヘッダー情報が6件、(3)当該サービスと連携して動作するように設定されていた他社クラウドサービスの認証情報が488件――になる。
なお、上記の3項目の合計契約数から、重複する顧客を除外した契約数は586件になるとしている。
同社によると、不正アクセスの原因は、当該サービスのオプション機能として利用されていたクオリティア製のメールソフト「Active! mail」に存在するスタックベースのバッファオーバーフローの脆弱(ぜいじゃく)性に起因する。IIJでのインシデント発覚時には未発見だったといい、今回の事案を通じて初めて明らかになったという。この脆弱性を悪用された場合、任意のコード実行やサービス運用妨害(DoS)状態の誘発などにつながる恐れがあり、18日に脆弱性対策情報「JVN」で緊急度の高い脆弱性として情報公開された。開発元のクオリティアは、既に改修を完了している。IIJでは、機能提供を2025年2月に終了したと説明する。
同社では、現在当該サービスを契約中の顧客に今回の事象を担当者から説明しているとし、既に契約を終えてサービスを利用していない対象者には、ウェブサイトのフォームからの問い合わせを案内している。
