インターネットイニシアティブ(IIJ)は2024年8月3日以降に、法人向けに提供するメールセキュリティサービス「IIJセキュアMXサービス」が不正アクセスを受け、顧客情報の一部が外部に漏洩した可能性があることを発表しました。最大で6493契約、407万2650件のメールアカウントに影響が及ぶ可能性があるといいます。情報が流出した可能性があると公表した取引先一覧を紹介します。関係先はなりすましメールにより一層注意してください。
目次
IIJの公式サイトによると、「IIJセキュアMXサービス」とは、クラウド上でメールセキュリティを強化する統合メールセキュリティサービスです。
フィッシングなどの脅威メール対策、情報漏洩対策、内部不正対策など、メールの受信・送信のセキュリティ対策をワンストップで実現するといいます。
IIJによると、「IIJセキュアMXサービス」のサービス設備が、2024年8月3日以降に不正なアクセスを受けたといいます。サービスを提供する設備上で不正なプログラムが実行されていたことを4月10日に確認しました。
情報漏洩の可能性が確認された後、不正なアクセスの経路を特定し、切り離す措置を実施。原因および影響範囲については、調査を続けています。
漏洩した可能性があるのは、IIJセキュアMXサービスの全顧客にあたり、最大で6493契約、メールアカウント数407万2650件です。
漏洩した可能性のある情報は、顧客の契約内容や利用機能によって異なるとされています。
2024年8月3日時点で既にサービスの利用を終了していた契約についても、一部の情報が漏洩した可能性があるといます。具体的には、以下の情報です。
IIJは、情報が漏洩した可能性が否定できないすべての契約・情報について、影響があった可能性があるとして顧客に案内しているとしています。
日本経済新聞は4月18日、IIJへの不正アクセスについて、「Active! mail(アクティブメール)」というソフトウェアから侵入された疑いがあると報じています。
情報処理推進機構(IPA)の公式サイトによると、「Active! mail」はクオリティアが提供するウェブメールシステムで「緊急」の対応が必要な脆弱性があると注意を呼び掛けています。遠隔の第三者によって細工されたリクエストを送信された場合、任意のコードを実行されたり、サービス運用妨害(DoS)状態を引き起こされたりする可能性があります。この脆弱性を悪用した攻撃がすでに確認されているといいます。
クオリティアの公式サイトは、Active! mail 6の最新バージョン(BuildInfo: 6.60.06008562)にバージョンアップするよう呼び掛けています。
IIJセキュアMXサービスの不正アクセスを受けて、いくつかの利用企業・組織はコメントを出しています。このほかにも多くの企業に影響が出ているとみられ、公表次第追加していきます。
村上総務相は4月18日の閣議後会見で「総務省としましては、今後、同社(IIJ)から詳細な報告を受ける予定でありまして、その内容を精査し、必要な対応を講じてまいりたいと考えております。また、総務省におきましても、該当のサービスを利用していた部局等があるため、同社からの情報提供を受け、パスワードの変更など必要な対策を行っているところであります」とコメントしています。
日本取引所グループの公式サイトは「現在、IIJ社と連携し、事実関係の調査に努めております。なお、IIJ社から対策は完了しており、以降は情報漏えいすることはないと報告を受けております」とコメントしています。
年金積立金管理運用独立行政法人の公式サイトは「当法人の役職員のメールアドレスをかたり、情報の搾取などを目的とした電子メールが届くおそれがあります。運用受託機関など当法人の取引先をはじめ、皆様におかれては十分にご注意ください」とコメントしています。
ダイハツ工業の公式サイトは「販売会社従業員のメールアドレスなどが外部に流出したおそれがあることが分かりましたのでお知らせいたします。なお、販売会社のお客様に関する情報(お客様のメールアドレスを含む個人情報や販売会社従業員とのメール内容など)の漏洩はございません」とコメントしています。
竹中工務店の公式サイトは「IIJ社の報告では、現時点で当社お客様・お取引先様に関する情報漏洩の可能性はありません」とコメントしています。
森永製菓の公式サイトは「なお、現時点で当社グループのメールデータに関する情報が外部に流出したとの報告は受けておりません が、不審なメールを受け取られた場合には、ご留意いただきますようお願いいたします」とコメントしています。
北日本放送の公式サイトは「主にイベント業務のメール一括送信作業において、このメールサービスを使用している事が判明しました。その後、IIJより弊社関連の情報漏洩の形跡はないとの報告を受けました。また、IIJメールボックスは弊社内からしかアクセスできないように制限しているので、情報漏えいの可能性は極めて低いと判断しております」とコメントしています。
2027年1月に傘下の荘内銀行と北都銀行の合併を予定しているフィデアホールディングスは、「IIJ社からは、現時点で当社グループのメールアドレスやメール本文に関する情報漏えいはない、との説明を受けておりますが、当社グループを騙る電話、メール、郵便物等による詐欺には十分にご注意いただきますようお願いいたします」と呼び掛けています。
仙台銀行などを傘下にもつじもとホールディングスは「現在、この不正アクセス事案による影響がないか確認を進めております。現時点では、お客さまに関する情報への直接的な影響は確認されておりませんが、念のため不審なメールや身に覚えのない連絡にご注意いただきますようお願い申し上げます」とコメントしています。
第四銀行と北越銀行の経営統合により誕生した第四北越フィナンシャルグループは「現時点において、当社グループ各社のお客さま情報が流出したとの報告は受けていません。また、当社では既に本メールシステムが不正利用されないための必要な対応を実施済みであり、現在は安全な状態となっています」とコメントしています。
新潟県長岡市に本店がある大光銀行は「現時点で、IIJ社からは当行のお客さま情報の流出に関する報告は受けておりませんが、当行を騙るフィッシングメール等にご注意いただきますよう、お願いいたします」とコメントしています。
福岡銀行、熊本銀行、十八親和銀行、福岡中央銀行、FFG証券などの傘下にもつふくおかフィナンシャルグループは「IIJ社ならびに当社グループにおいて必要な調査を実施してまいりましたが、現時点でお客さまに関する情報の漏洩は確認されておりません。引き続き、当社グループを騙る電話、メール、郵便物等による詐欺には十分ご注意いただきますようお願いいたします」とコメントしています。
西日本シティ銀行は「IIJ社からは、当行のメールアドレスやメール本文に関する情報漏えいは発生していないとの報告を受けておりますが、当行を騙る電話、メール、郵便物等による詐欺には十分にご注意いただきますようお願いいたします」とコメントしています。
鹿児島銀行と肥後銀行とが経営統合して誕生した九州フィナンシャルグループは「IIJ社からは、現時点において当社グループのメールアドレスやメール本文に関する情報漏えいは発生していないとの報告を受けておりますが、当社および当社グループを騙る電話、メール、郵便物等による詐欺・フィッシング等には十分にご注意いただきますようお願いいたします」とコメントしています。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。
