2025年4月15日、株式会社インターネットイニシアティブ(以下、IIJ)が大規模な情報漏洩事故を公表しました。IIJの法人向けメールセキュリティサービスに影響を与えたもので、大規模な情報漏えいに繋がった可能性があるとのこと。つい先日、日本航空(JAL)とIIJが「JALモバイル」を共同スタートしたばかりだというタイミングも相まって、サービスの利用者にとっても気になるニュースです。
今回の記事では、IIJで発生したセキュリティ事故の内容と、JALモバイルサービスへの影響について解説します。
発生したセキュリティ事故の概要
今回の事故が発生したのは「IIJセキュアMXサービス」と呼ばれる、法人向けのメールセキュリティサービスです。このサービスは、企業のメールサーバーとセキュリティ機能を提供するアウトソーシングサービスです。
IIJの発表によると、このサービスに対する不正アクセスは2024年8月3日以降に発生していたとのこと。IIJがこの問題を発見したのは2025年4月10日で、5日後の4月15日に公表しました。
どのくらいの規模の事故か
影響を受ける可能性のある顧客は最大で6,493契約、メールアカウント数は約407万件に上ります。これはIIJセキュアMXサービスの全顧客に該当するとのこと。
漏洩した可能性のある情報は主に以下の3種類とされています。
1. メールアカウントとパスワード
2. 送受信されたメールの本文やヘッダー情報
3. 他社クラウドサービスの連携用認証情報
すでにサービス利用を終了していた顧客の場合は、メールパスワードなど一部情報は含まれていないとのことです。
なl、IIJは情報漏洩の可能性を確認後、不正アクセスの経路を特定して切り離しを行ったと発表しています。現在は安全にサービスを利用できる状態に復旧したとのことですが、原因と影響範囲の調査は継続中です。
現在IIJと契約中の顧客には担当者から直接連絡がされており、過去に利用していた顧客には専用の問い合わせフォームが用意されています。
JALモバイルへの影響
重要なポイントとして、今回の情報漏洩が発生したのは「IIJセキュアMXサービス」という法人向けのメールサービスであり、「JALモバイル」とは異なるサービスです。今のところ幸いにも、JALモバイルの利用者情報が漏洩したという発表はありません。
ただし、同じ会社が提供しているサービスということで、システムやインフラが一部共有されている可能性はあります。そのため、JALモバイルユーザーにとっても無関係とは言い切れない状況です。特に、サービス提供元のIIJに対する信頼性は影響を受ける可能性があります。
現時点での公式発表について
現時点では、JALとIIJのどちらも、JALモバイルサービスへの影響について具体的な発表をしていません。このことから、JALモバイルのユーザー情報が直接漏洩した証拠はないと考えられます。
ただし、JALモバイルユーザーは、直接影響があるかどうか明らかでない状況でも、パスワードの複雑化などの対策を取っておくほうがベターかもしれません。
今後の展開
IIJのような重要なインターネットインフラを提供する企業でのセキュリティ事故は、多くの関連サービスに影響を与える可能性があります。特に、JALモバイルのような新サービスにとっては、開始直後にこのようなニュースが出ることは大きな課題となります。
IIJは「関係機関と連携して対応しており、新たな情報が判明した際は速やかに開示する」と述べています。今後の調査結果によって、実際の影響範囲がより明確になるでしょう。
IIJのセキュリティ事故は、直接的には別サービスの顧客に影響するものですが、JALモバイルサービスへの間接的な影響も完全には否定できません。利用者は念のためパスワード変更などの対策をしつつ、両社からの続報に注目することが大切です。
---
この記事は2025年4月16日時点の情報に基づいています。最新情報は公式サイトでご確認ください。
