Today’s Security: IIJの不正アクセス問題から考えるメールの安全性と発覚までの時間 2025.04.15

Todays

出典朝日新聞デジタル(2025年4月15日)

こんにちは。今日は、IT大手「インターネットイニシアティブ(IIJ)」が提供する法人向けメールサービス「IIJセキュアMXサービス」が不正アクセス被害を受けたというニュースについて、次の2つの疑問を軸に解説していきます。

  • 発覚まで約8か月もかかったのはなぜ?
  • メールの内容(本文)も見られてしまったのか?

■ 事件の概要

  • 発表日: 2025年4月15日
  • 対象サービス: IIJセキュアMXサービス(法人向けメール)
  • 不正アクセス開始時期: 2024年8月
  • 発覚日: 2025年4月10日
  • 影響範囲:
    • 最大6493契約
    • 約407万件のメールアカウント
    • 送受信記録やメール本文も含まれる可能性あり

IIJは、問題を確認したその日のうちに侵入経路のサーバーを切り離すなど初期対応を行い、現在は関係機関と連携して調査・対策を進めています。

■ なぜ発覚まで8か月もかかったの?

セキュリティの世界では、「発見の遅れ」は残念ながら珍しくありません。

● 主な理由:

1. 攻撃者が“静かに潜伏”する時代

最近のサイバー攻撃は「すぐに壊す」のではなく、気づかれないように長く中に居座って情報を抜き取る手法(ステルス攻撃)が増えています。

2. 大規模システムは異常を見つけにくい

407万件規模のメールアカウントを日常的に処理しているシステムでは、小さな異常が見落とされがちです。

3. 侵入経路の特定が困難

脆弱性(セキュリティの弱点)を突いた侵入は、通常の通信に見せかけて行われるため、ログの解析だけでは見つけにくい場合があります。

■ 不正アクセス対策として「ログ」はなぜ重要?

今回のような不正アクセス事案では、「何が起きたのか」「いつ、どこから、どのように侵入されたのか」を把握するために、サーバーや通信機器の「ログ(記録)」が非常に重要な証拠となります。

● ログが果たす3つの役割

1. 攻撃の発見につながる

不正アクセスの兆候(例:深夜の海外IPアドレスからの大量アクセスなど)は、ログを定期的に確認することで早期に発見できる可能性があります。

2. 侵入経路・影響範囲の特定

何が起きたのかを時間軸で再構成するには、アクセスログ・認証ログ・メール送受信ログなどの蓄積が不可欠です。
適切なログが残っていないと、「本当に漏えいしたのか?」という調査すら困難になります。

3. 法的対応や社内説明の裏付け資料になる

インシデント発生後の報告書や再発防止策の説明、関係機関への届け出の際にも、ログがなければ説得力のある説明ができません。

● ログの「保存期間」も重要なセキュリティ設定

不正アクセスは半年以上気づかれないことも多く、短期保存では調査時に必要なデータがすでに消えている可能性があります。企業によっては法的な保存義務(業種・業界規制)が定められていることもあります。ガイドラインやセキュリティポリシーなどに従って、適切な保存期間の設定が必要です。

■ メールの“本文”まで見られてしまったの?

IIJの発表では、「送受信記録やメール本文」が漏えいした“可能性がある”とされています。

● どういうこと?

IIJセキュアMXサービスでは、ウイルスチェックや迷惑メール対策のために、一時的にメール本文を保存している可能性があります。

もしその保存データが暗号化されておらず、攻撃者にアクセスされた場合、過去のやり取りの中身までもが閲覧された可能性があります。

● メールにこんな情報が含まれていたら要注意:

  • 取引内容(契約金額、納期など)
  • 個人情報(住所、電話番号)
  • ログイン情報や確認コード
  • 社外秘の資料添付ファイル

■ この事件から学べること

【1】 メールは「安全」ではなく「要注意」な通信手段

  • メールは基本的に平文(暗号化されていない)で送信されることが多く、本文の内容が外部に漏れるとダイレクトに情報漏えいにつながります。

【2】 長期にわたる“静かな侵入”に備えよう

  • 今や侵入されるリスクをゼロにすることは不可能です。だからこそ、早く気づくための仕組みや監視体制が重要です。

【3】ログの管理を適切に

  • 調査と発表を行うためには、「ログが正しく保存されていた」ことが前提になります。逆に言えば、どんなに高性能なセキュリティソリューションを導入していても、ログがなければ“過去に何が起きたか”を証明できないのです。

【4】 万が一に備えたメール運用の見直しを

  • 機密性の高い内容はメールではなく別の安全な方法で共有する
  • 添付ファイルにはパスワード付きのクラウドリンクを使う
  • 定期的にパスワード変更・二要素認証の導入を徹底

■ まとめ:見えない被害は、見える対策で減らせる

今回のIIJの件は、見えないところで行われた情報漏えいの可能性があるという点で非常に重大です。

  • 気づくのに8か月かかった
  • メールの内容まで見られたかもしれない
  • 被害の範囲が膨大

しかし一方で、こうした出来事は、「自分たちの運用は本当に安全か?」を見直すきっかけにもなります。

私たち一人ひとりが、メールを「安全な場所」だと思い込まない意識を持つことが、情報漏えいを防ぐ最初の一歩です。

それでは、また次回の「Today’s Security」でお会いしましょう。

関連投稿:

  1. Today’s Security: 不正アクセスの実態と対策 2025.03.20
  2. Today’s Security: 楽天モバイル不正アクセス事件に学ぶ、SNSグループの危険性と対策 2025.03.21
  3. Today’s Security: スーパーがランサムウェア被害で臨時休業―なぜ休業?感染したら警察に連絡すべき?2025.03.31
  4. Today’s Security: 卒業アルバム制作会社が不正アクセス被害|サプライチェーンリスクと二次的被害の危険性 2025.04.06

コメント