事件の概要

インターネットインフラ企業ⅡJが、4月22日に発表した調査結果で、同社のメールサービス「IIJメールサービス」の不正アクセスが行われたことが明らかになりました。流出したデータは586件に上り、その原因が他社製の「Active! mail」の脆弱性であると確認されています。

流出データの詳細

流出したデータの586件は、特定の契約に関する情報で、このうち、電子メールのアカウントやパスワードに関する情報が132件、本文やヘッダー情報が6件、他社クラウドサービスに関連する認証情報が488件を占めています。現在、契約中の顧客に対しては、個別に連絡を行い、重要な情報の確認作業を進めています。

「Active! mail」の脆弱性とは？

「Active! mail」は東京・中央区が提供するWebメールサービスですが、一定のユーザーから利用されていたこのサービスの脆弱性が問題視されています。実際、4月18日に公開された脆弱性情報ポータルサイト「JVN」にも、その危険性が高い脆弱性として登録されました。

脆弱性の影響と対策

「Active! mail」には、スタックバッファオーバーフローに関する脆弱性の存在が確認されており、距離の第三者に対して細工されたリクエストを送信されることにより、サービス運用妨害（DoS）を引き起こす可能性があります。そのため、IIJメールサービス利用者は早急に対策を講じる必要があります。

IIJの今後の対応

ⅡJは、4月15日に現在の事案を公表し、2024年8月3日以降の具体的な対応策を発表する予定です。また全ユーザーのアカウント情報や関連情報も流出している可能性があり、引き続き調査を進める考えです。さらに、同社は再発防止に向け、セキュリティ対策の強化を図る意向を示しています。

セキュリティ意識の向上が急務

この件により、同社は安全対策を再確認し、独自調査を進めています。新たな情報が判明次第、迅速に開示する方針です。利用者自身も、セキュリティ対策を日頃から意識し、情報保護に努めることが重要です。これを機に、個人情報の取り扱いやセキュリティ意識を高めることが求められています。