IIJセキュアMXサービス、31万件のメール情報漏洩　利用企業先一覧

2025.04.21 (最終更新：2025.04.22)

IIJセキュアMXサービスにおけるお客様情報の漏えいについて（IIJの公式サイトから　https://www.iij.ad.jp/news/pressrelease/2025/0415.html）

　インターネットイニシアティブ（IIJ）は2024年8月3日以降に、法人向けに提供するメールセキュリティサービス「IIJセキュアMXサービス」が不正アクセスを受け、顧客情報の一部が外部に漏洩した可能性があることを発表しました。すべての利用企業数6493契約、メールアカウント407万2650件のうち、漏洩が確認できたのは586契約で、電子メールのアカウント・パスワードの漏えいがあったのは31万1288件だといいます。IIJセキュアMXサービスを利用していた企業のうち、コメントを発表している利用企業一覧を紹介します。各企業の関係先はなりすましメールに注意してください。

IIJセキュアMXサービスとは
情報漏洩の概要　2024年8月以降に不正アクセス
情報漏洩した可能性のある情報
情報漏洩の原因　「Active! mail」から侵入か
IIJセキュアMXサービス利用企業・組織一覧

IIJセキュアMXサービスとは

　IIJの公式サイトによると、「IIJセキュアMXサービス」とは、クラウド上でメールセキュリティを強化する統合メールセキュリティサービスです。

　フィッシングなどの脅威メール対策、情報漏洩対策、内部不正対策など、メールの受信・送信のセキュリティ対策をワンストップで実現するといいます。

情報漏洩の概要　2024年8月以降に不正アクセス

　IIJによると、「IIJセキュアMXサービス」のサービス設備が、2024年8月3日以降に不正なアクセスを受けたといいます。サービスを提供する設備上で不正なプログラムが実行されていたことを4月10日に確認しました。

　情報漏洩の可能性が確認された後、不正なアクセスの経路を特定し、切り離す措置を実施しました。

情報漏洩した可能性のある情報

　漏洩した可能性があるのは、IIJセキュアMXサービスの全顧客にあたり、最大で6493契約だと発表。その後、漏洩が確認できたのは、以下の3項目の合計契約数から、重複する顧客を除外した586契約だったことを明らかにしました。

電子メールのアカウント・パスワードの漏えい

　対象の契約数は132契約です。このうちの一部の契約については電子メールアカウントのみ漏えい事実が確認されています。第一報で漏えいの可能性があると説明していた電子メールアカウント407万2650件のうち、31万1288件が該当します。

送受信した電子メールの本文・ヘッダ情報の漏えい

　対象の契約数は6契約です。

連携していた他社クラウドサービスの認証情報の漏えい

　対象の契約数は488契約です。

情報漏洩の原因　「Active! mail」から侵入か

　IIJは、情報漏洩の原因について「IIJセキュアMXサービスで利用していた第三者製のソフトウェアの脆弱性を悪用されたことによるものでした」と発表しました。このソフトウェアは「Active! mail（アクティブメール）」だったといいます。

　情報処理推進機構（IPA）の公式サイトによると、「Active! mail」はクオリティアが提供するウェブメールシステムで、「緊急」の対応が必要な脆弱性があると注意を呼び掛けています。遠隔の第三者によって細工されたリクエストを送信された場合、任意のコードを実行されたり、サービス運用妨害（DoS）状態を引き起こされたりする可能性があります。この脆弱性を悪用した攻撃がすでに確認されているといいます。

　クオリティアの公式サイトは、Active! mail 6の最新バージョン（BuildInfo: 6.60.06008562）にバージョンアップするよう呼び掛けています。

岡山県精神科医療センターから学ぶランサムウェア対策　経営層の関与も必要

IIJセキュアMXサービス利用企業・組織一覧

　IIJセキュアMXサービスの不正アクセスを受けて、いくつかの利用企業・組織はコメントを出しています。このほかにも多くの企業に影響が出ているとみられ、公表次第追加していきます。

総務省

　村上総務相は4月18日の閣議後会見で「総務省としましては、今後、同社（IIJ）から詳細な報告を受ける予定でありまして、その内容を精査し、必要な対応を講じてまいりたいと考えております。また、総務省におきましても、該当のサービスを利用していた部局等があるため、同社からの情報提供を受け、パスワードの変更など必要な対策を行っているところであります」とコメントしています。

日本取引所グループ（JPX）

　日本取引所グループの公式サイトは「現在、IIJ社と連携し、事実関係の調査に努めております。なお、IIJ社から対策は完了しており、以降は情報漏えいすることはないと報告を受けております」とコメントしています。

年金積立金管理運用独立行政法人（GPIF）

　年金積立金管理運用独立行政法人の公式サイトは「当法人の役職員のメールアドレスをかたり、情報の搾取などを目的とした電子メールが届くおそれがあります。運用受託機関など当法人の取引先をはじめ、皆様におかれては十分にご注意ください」とコメントしています。

ダイハツ工業

　ダイハツ工業の公式サイトは「販売会社従業員のメールアドレスなどが外部に流出したおそれがあることが分かりましたのでお知らせいたします。なお、販売会社のお客様に関する情報（お客様のメールアドレスを含む個人情報や販売会社従業員とのメール内容など）の漏洩はございません」とコメントしています。

竹中工務店

　竹中工務店の公式サイトは「IIJ社の報告では、現時点で当社お客様・お取引先様に関する情報漏洩の可能性はありません」とコメントしています。

森永製菓

　森永製菓の公式サイトは「なお、現時点で当社グループのメールデータに関する情報が外部に流出したとの報告は受けておりませんが、不審なメールを受け取られた場合には、ご留意いただきますようお願いいたします」とコメントしています。

極洋

　極洋の公式サイトは「現在、IIJ社と連携し、この不正アクセスによる影響がないか確認を進めております。なお、IIJ社からは、不正なアクセスの経路を特定のうえ、切り離しを実施し、現在は安全に利用可能な状態であるとの報告を受けております」とコメントしています。

総合メディカル

　総合メディカルの公式サイトは「現時点では、IIJ 社からは、当社のメールアドレス、メール本文の漏洩に関する具体的な説明はございませんが、当社を騙る電話、メール、郵便物等による詐欺には、十分にご注意いただきますようお願いいたします」とコメントしています。

長大

　長大の公式サイトは「IIJ社と連携し、情報漏えいに関わる事実確認の調査に努めております。なお、IIJ社から対策は完了しており、以降は情報漏えいすることはないと報告を受けております」とコメントしています。

横浜エフエム放送

　横浜エフエム放送の公式サイトは「その後の調査において、弊社のメールデータについては情報漏洩がないことが確認できております」とコメントしています。

北日本放送

　北日本放送の公式サイトは「主にイベント業務のメール一括送信作業において、このメールサービスを使用している事が判明しました。その後、IIJより弊社関連の情報漏洩の形跡はないとの報告を受けました。また、IIJメールボックスは弊社内からしかアクセスできないように制限しているので、情報漏えいの可能性は極めて低いと判断しております」とコメントしています。

みずほ銀行

　みずほ銀行の公式サイトは「IIJ からは、現時点で当行のメールアドレスやメール本文に関する情報漏えいは発生していないとの報告を受けておりますが、当行を騙る電話、メール、郵便物等による詐欺に
は十分にご注意いただきますようお願いいたします」とコメントしています。

フィデアホールディングス

　2027年1月に傘下の荘内銀行と北都銀行の合併を予定しているフィデアホールディングスは、「IIJ社からは、現時点で当社グループのメールアドレスやメール本文に関する情報漏えいはない、との説明を受けておりますが、当社グループを騙る電話、メール、郵便物等による詐欺には十分にご注意いただきますようお願いいたします」と呼び掛けています。

じもとホールディングス

　仙台銀行などを傘下にもつじもとホールディングスは「現在、この不正アクセス事案による影響がないか確認を進めております。現時点では、お客さまに関する情報への直接的な影響は確認されておりませんが、念のため不審なメールや身に覚えのない連絡にご注意いただきますようお願い申し上げます」とコメントしています。

第四北越フィナンシャルグループ

　第四銀行と北越銀行の経営統合により誕生した第四北越フィナンシャルグループは「現時点において、当社グループ各社のお客さま情報が流出したとの報告は受けていません。また、当社では既に本メールシステムが不正利用されないための必要な対応を実施済みであり、現在は安全な状態となっています」とコメントしています。

大光銀行

　新潟県長岡市に本店がある大光銀行は「現時点で、IIJ社からは当行のお客さま情報の流出に関する報告は受けておりませんが、当行を騙るフィッシングメール等にご注意いただきますよう、お願いいたします」とコメントしています。

鳥取銀行

　鳥取銀行の公式サイトは「IIJ社からは、現時点で当行のメールアドレスやメール本文に関する情報漏洩はないとの説明を受けておりますが、当行を騙る電話、メール、郵便物等による詐欺には十分にご注意いただきますようお願いいたします」とコメントしています。

高知銀行

　高知銀行の公式サイトは「IIJ社メールシステムへの不正アクセス事案につきまして、調査の結果、お客さまに関する情報漏えいはなかったことが確認されましたので、お知らせいたします」とコメントしています。

ふくおかフィナンシャルグループ

　福岡銀行、熊本銀行、十八親和銀行、福岡中央銀行、ＦＦＧ証券などの傘下にもつふくおかフィナンシャルグループは「IIJ社ならびに当社グループにおいて必要な調査を実施してまいりましたが、現時点でお客さまに関する情報の漏洩は確認されておりません。引き続き、当社グループを騙る電話、メール、郵便物等による詐欺には十分ご注意いただきますようお願いいたします」とコメントしています。

西日本シティ銀行

　西日本シティ銀行は「IIJ社からは、当行のメールアドレスやメール本文に関する情報漏えいは発生していないとの報告を受けておりますが、当行を騙る電話、メール、郵便物等による詐欺には十分にご注意いただきますようお願いいたします」とコメントしています。

九州フィナンシャルグループ

　鹿児島銀行と肥後銀行とが経営統合して誕生した九州フィナンシャルグループは「IIJ社からは、現時点において当社グループのメールアドレスやメール本文に関する情報漏えいは発生していないとの報告を受けておりますが、当社および当社グループを騙る電話、メール、郵便物等による詐欺・フィッシング等には十分にご注意いただきますようお願いいたします」とコメントしています。