【INCIDENT事例】
※本事例は実際の報道をもとに再構成した注意喚起です
「IIJセキュアMX」情報漏洩で浮き彫りになった、メールセキュリティの盲点と企業の取るべき対応
2025年4月15日、インターネットインフラの大手・インターネットイニシアティブ(IIJ)は、同社の提供する法人向けメールセキュリティサービス「IIJセキュアMXサービス」において、最大で約400万人分のメールアカウント情報が流出した可能性があると発表しました。対象は最大6493契約分に及び、メールアカウント、パスワード、本文、ヘッダー情報までが漏洩した可能性が指摘されています。
本件は単なるパスワード漏洩にとどまらず、企業が日常的にやりとりしている機密情報、社外パートナーの連絡先なども流出対象に含まれる可能性があるという点で、極めて重大なインシデントです。
■ サイバー攻撃の概要と経緯
- 不正アクセス開始:2024年8月3日ごろから
- 漏洩確認日:2025年4月10日
- 対象サービス:「IIJセキュアMX」=メールのウイルス検知・誤送信防止等を行う主力法人向けサービス
- 情報漏洩の可能性がある内容:
- メールアカウント/パスワード
- メール本文
- 宛先・送信元を示すヘッダー情報
- 連携先のクラウド認証情報(Google・Microsoftなど)
■ なぜ深刻か?企業が直面するリスク
- 情報漏洩による信頼失墜
社内外のメール内容が流出することで、機密性の高い取引情報や顧客データが漏洩してしまうリスクが現実化。 - 二次被害の可能性
流出した認証情報を利用した、Google Workspace や Microsoft 365 などへの不正アクセス=他サービスへの波及。 - アラートが作動しなかった事実
不正アクセス時、本来作動すべきアラートが機能していなかったとされ、検知システムそのものへの過信リスクが浮き彫りに。
■ 企業が今すぐ取り組むべき5つの対応策
- クラウド連携先のログ監視と認証情報更新
- 万が一連携している場合は、速やかにパスワード変更・2段階認証の確認を。
- 「既に退職・退会したアカウント」も再点検
- 過去の契約分も対象になり得るため、利用履歴があるサービスの棚卸しを。
- 重要メールの暗号化/添付ファイルの分離運用
- 本文や添付に直接書く運用は見直し、セキュアなリンク共有などへ切り替える。
- アラート機能の実効性をテスト
- 「通知が来るはず」を過信せず、実際に試験運用・検知テストを。
- 従業員向けの注意喚起と啓発教育
- 情報漏洩後、対外対応だけでなく、社内体制強化と意識づけを忘れずに。
■ 総括:守るべきは「信頼のインフラ」
IIJは、インターネット接続の黎明期からネットワーク基盤を支え続けてきた企業です。そのIIJでさえ攻撃を受け、見えない侵入口から情報が流出する時代。つまり、「大手だから安心」「老舗だから大丈夫」という思い込みは通用しないということです。
サイバー攻撃はすでに「どこでも・誰にでも」起こりうる時代。だからこそ今、企業は自社のセキュリティ体制を点検・再構築することが求められています。