IIJ、不正アクセスの続報を公表　Active! mailのゼロデイ脆弱性が原因：セキュリティニュースアラート

　今回悪用されたのは、Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性（JVN#22348866）だ。同脆弱性についてはクオリティアからもリリースが公開されている。

　これを悪用することで、遠隔の第三者が細工したリクエストを送信した場合、任意のコードを実行したり、サービス運用妨害（DoS）状態を引き起こしたりする可能性がある。なお、クオリティアは同脆弱性について「BuildInfo: 6.60.06008562」で対応済みのため、該当ユーザーは急ぎアップデートが推奨される。

　IIJは、同脆弱性について「不正アクセス発生から発覚のタイミングでは未発見のものであり、今回の事案を通じて初めて明らかになった」と報告している。この他、IIJセキュアMXサービスにおいて、Active! mailによるオプション機能は2025年2月をもって提供終了しており、現在製品自体利用されていないという。

　IIJは情報漏えいの事実が確認された顧客契約数も明らかにした。対象となった契約数は586契約で、電子メールのアカウント・パスワードの漏えいが132契約（電子メールアカウントのみの漏えいも含む）、電子メールの本文・ヘッダ情報の漏えいが6契約、同サービスと連携していた他社クラウドサービスの認証情報の漏えいが488契約とされている。

　契約がある顧客にはIIJから個別に報告済みだ。同社との契約がなく、過去にIIJセキュアMXサービスを利用していた顧客向けには相談フォームが用意されている。

　IIJは再発防止に向けて、セキュリティ対策や監視体制強化の検討を進めている他、引き続き、関係機関と連携して対応を実施するとしている。