2025年4月、IIJセキュアMXサービスを利用する約6,500契約・400万件以上のメールアカウントに影響を及ぼす不正アクセスが発生しました。この事件は、メール配送システムのセキュリティ対策の重要性を改めて浮き彫りにしています。本記事では、IIJの事例を踏まえ、中小企業が「Active! mail」を含むメールサービスを安全に運用するための具体的な対策を解説します。漏洩のリスクを最小限に抑え、自社と顧客を守る方法を考えていきましょう。

不正アクセス事例の概要とIIJセキュアMXサービスの影響

2024年8月3日以降、IIJセキュアMXサービスの設備が不正アクセスを受け、メール本文や認証情報が漏洩した可能性が確認されました。同サービスは、メールサーバやセキュリティ機能をアウトソーシングする法人向けサービスであり、最大4,072,650件のアカウントが影響を受けました。漏洩情報には、メールのアカウント・パスワード、送受信内容、他社クラウドサービスの認証情報も含まれています。

IIJは速やかに不正アクセスの経路を遮断し、現在は安全に利用できる状態としていますが、原因究明と影響範囲の調査は継続中です。この事例は、外部委託したセキュリティサービスであっても、絶対的な安全性が保証されないことを示しています。

侵入経路と「Active! mail」の脆弱性問題

日本経済新聞の報道によると、不正アクセスの侵入経路として、IIJが採用していた「Active! mail」というメールソフトウェアが疑われています。同ソフトのバージョン6系には「CVE-2025-42599」という深刻な脆弱性が存在し、認証不要でリモートからの任意コード実行が可能でした。CVSSv3.0のスコアは9.8と極めて高く、すでに悪用が確認されていたことから、IIJセキュアMXサービスのセキュリティ対策の隙をつかれた可能性があります。

Active! mailを提供しているクオリティア社は緊急アップデート「ビルド6.60.06008562」をリリースしましたが、脆弱性の存在が判明する前に攻撃が実行されたとみられます。この事態は、サードパーティ製ソフトウェアの管理不備が、大規模な情報漏洩を招くリスクを如実に物語っています。

スタックベースのバッファオーバーフローの危険性と具体例

スタックベースのバッファオーバーフローは、プログラムのメモリ領域「スタック」で発生する脆弱性です。具体的には、データを一時保管する領域（バッファ）に想定以上のデータを書き込むことで、隣接する重要な制御情報を上書きしてしまう現象です。

例えば、10文字分の入力領域に20文字のデータを強制的に流し込むと、プログラムの実行フローを制御する「戻りアドレス」が書き換えられます。攻撃者がこのアドレスを悪意あるコードの位置に変更すれば、サーバーの完全制御やデータ漏洩を引き起こせます。

今回のIIJセキュアMXサービスへの攻撃では、まさにこの手法が「Active! mail」の脆弱性（CVE-2025-42599）を通じて悪用されたのではないかと考えられます。認証不要でシステム全体を支配できる特性から、CVSSスコア9.8という「即時対応必須」の危険度評価を受けています。

中小企業が取るべき緊急対応策

まず、自社で「Active! mail」を利用している場合は、直ちに最新バージョンへ更新してください。IIJセキュアMXサービスを利用中の企業は、IIJから提供される情報を確認し、パスワードの変更や多要素認証の導入を検討すべきです。
さらに、以下の対策を実施しましょう。

1. ログの徹底保全……不正アクセスの痕跡を追跡するため、メールサーバやファイアウォールのログを最低90日間程度は保存するようにしましょう。
2. WAFの活用……ウェブアプリケーションファイアウォールで脆弱性悪用を検知・ブロックするWAFを導入しましょう。
3. 認証情報の分離……メールシステムと連携するクラウドサービスの認証情報を別管理にし、漏洩時の被害拡大を防ぎましょう。

長期的なメールセキュリティ強化のポイント

IIJの事例は「委託したから安心」という考え方の危険性を教えてくれます。継続的な対策として、次の取り組みが有効です。

1. 1. サプライチェーンの見直し……外部サービス提供元のセキュリティ監査履歴を確認し、脆弱性管理の体制を評価しましょう。
   2. 従業員教育の徹底……フィッシングメールの見分け方やパスワード管理の重要性を周知し、人的な脆弱性を減らしましょう。
   3. 定期的なペネトレーションテスト……外部専門家に依頼し、自社システムの弱点を客観的に診断しましょう。

まとめ

IIJセキュアMXサービスの不正アクセスは、メール配送システムのセキュリティ対策が如何に重要かを再認識させる事例です。Active! mailの脆弱性悪用や大規模な情報漏洩は、中小企業にも他人事ではありません。

自社のメール環境を見直し、ソフトウェアの更新や多層防御の導入を急ぎましょう。セキュリティ対策は「完璧」を目指すのではなく、「継続的な改善」が鍵です。IIJの教訓を活かし、顧客の信頼を守るための一歩を今日から踏み出してください。