法人向けメールサービスが外部から侵入被害
通信大手インターネットイニシアティブ(IIJ)が提供する法人向けの電子メールセキュリティサービスが不正アクセスを受け、31万1288件のメールアドレスとパスワードが漏洩したことが明らかとなった。このサービスはスパムやフィッシング対策機能を備えていたが、脆弱性を突かれて情報が流出した。流出対象にはメール本文や添付データも含まれていたとされ、被害は586契約分に及んでいる。
不正侵入の発端はソフトの脆弱性にあり
IIJが実施した調査によると、他社製ソフトウェアの脆弱性を突かれたことが不正侵入のきっかけだった。侵入は2023年8月に発生していたものの、サーバー側の異常検知機能が正常に作動せず、被害の判明までにおよそ8カ月を要した。期間中、外部への情報流出は継続的に行われていた可能性がある。
通信の秘密に関する重大な法的違反と判断
この一連の情報漏洩に対し、総務省は2025年7月18日、IIJに対して電気通信事業法に基づく行政指導を実施した。今回の事案は、通信の秘密を守る法令に反する重大な違反とされ、再発防止策の徹底と情報管理体制の見直しが求められた。加えて、総務省は業界全体としてのセキュリティ水準の底上げにも言及している。
業界全体への波及と対応強化の動き
今回の行政指導は、IIJ単独の問題にとどまらず、通信インフラ全体の信頼性と安全性にかかわる問題として業界内でも波紋を広げている。特に法人向けセキュリティサービスに対する信頼が問われる中、IIJはセキュリティ体制の再構築を進めており、検知システムや防御機能の強化に取り組んでいる。
IIJ、信頼回復と体制強化を表明
IIJは今回の行政指導について、「厳粛に受け止め、再発防止策を確実に実施する」とするコメントを発表した。全社的に情報セキュリティ体制を見直すとともに、顧客との信頼関係を取り戻すべく努力を続ける方針である。再発防止の実効性が今後の評価の鍵となる。