この記事のポイント
- 「総務省」、「インターネットイニシアティブ(IIJ)」に対して実施した指導措置を発表
- 法人向けメールセキュリティサービス「IIJ セキュア MX サービス」のソフトウェア脆弱性を匿名の第三者が悪用して、2024 年 8 月 3 日(土)から 2025 年 4 月 17 日(木)の約 8 か月半もの間、不明なコマンドにて電子メールを連続して大量に投下したことにより障害が発生
- 再発防止のために必要な措置を講じる旨の要請
ポッドキャスト(音声解説)
日本政府機関「総務省」は 2025 年 7 月 18 日(金)、「インターネットイニシアティブ(IIJ)」に対して実施した指導措置を発表しました。
今回「総務省」が実施した「IIJ」に対する指導措置は、「IIJ」が運営する法人向けメールセキュリティサービス「IIJ セキュア MX サービス」のソフトウェア脆弱性を匿名の第三者が悪用して、2024 年 8 月 3 日(土)から 2025 年 4 月 17 日(木)の約 8 か月半もの間、不明なコマンドにて電子メールを連続して大量投下したことにより引き起こされた障害に対する、再発防止のために必要な措置を講じる旨の指導です。匿名の第三者が「IIJ セキュア MX サービス」のソフトウェア脆弱性を悪用して無断利用しつつ大量のメールを投下したために障害が発生していたわけですが、「IIJ」はそれを約 8 か月半もの間放置していたわけです。
「総務省」はこの「IIJ(IIJ セキュア MX サービス)」にて発生していた障害が「電気通信事業法」)第 4 条第 1 項に規定する「通信の妨害」に該当すると判断し、事態の再発防止、総合的なサイバーセキュリティ対策強化、不明なコマンドに対する防御可能態勢の確立、また脆弱性の迅速な情報公開などの必要な措置を講じるよう、「IIJ」に指導しました。というか、そもそもの「IIJ セキュア MX サービス」は、フィッシングなどの脅威メール対策 / 情報漏えい対策 / 内部不正対策といった法人向けの総合的なメールセキュリティ対策サービスなのですが、その脆弱性を突かれて悪用され、そしてそれを約 8 か月半もの間放置していたとは。トンチが利いてますね。
Source:総務省
コメントを残す