IIJが提供する「セキュアMXサービス」で、31万件以上の情報漏えいが確認されました。原因は「Active! mail」の脆弱性です。
4月15日に初めて情報を公開した際、407万2650件のメールアカウントやパスワードの漏えいの可能性があるとされていましたが、その後の調査により、実際に漏えいが確認されたのは31万1288件に上ることが明らかになりました。
さらに、6契約において送受信されたメールの本文やヘッダ情報の漏えいも確認され、488契約の他社クラウドサービスの認証情報も漏えいしていることが分かりました。
重複を除いた漏えいが確認された契約数は586件に達しています。
今回の不正アクセスの原因は、第三者製ソフトウェア「Active! mail」の脆弱性を悪用したものであり、特に「Active! mail 6 BuildInfo: 6.60.05008561」およびそれ以前のバージョンにおいて、スタックベースのバッファオーバーフローの脆弱性が存在し、遠隔の第三者による任意のコード実行やサービス運用妨害(DoS)を引き起こす可能性があるとされています。
この脆弱性のCVSS v3スコアは9.8という非常に高い数値で、開発者は最新版の「Active! mail 6 BuildInfo: 6.60.06008562」で修正済みと説明しています。
利用者には、早急に最新バージョンへの更新を推奨しています。
参考リンクhttps://news.yahoo.co.jp/articles/daf3213bb24c3ca30835944fa78cc3a8a6a013ac
IIJセキュアMXサービスでの情報漏えいに関するコメントは、さまざまな意見が寄せられました。
まず、アクティブメールが原因であれば、他のメールサービスにも影響が及ぶ可能性があるとの指摘がありました。
特に、既に悪用が確認されていることから、早急にパッチを適用する必要があると強調されていました。
また、IIJの漏洩については落ち度があるものの、ゼロデイ攻撃に対してはある程度同情する意見もありました。
利用者からは、実際に自社で1000件以上のメールアドレスのパスワードを変更したという報告があり、変更後に漏洩の範囲がドメイン部分に限られていたと知らされたことに対する戸惑いが見受けられました。
このような状況から、利用者は仕方ないと受け入れつつも、不安を抱いていたようです。
また、脆弱性が修正される前に侵入された可能性についての疑問もあり、IIJの技術力に対する疑念が表明されていました。
全体として、今回の事件に対する不安や懸念が強く、利用者の間での情報共有や対策の重要性が再確認されたコメント内容となっていました。
ネットコメントを一部抜粋
アクティブメールが原因であれば、他のメールサービス提供企業にも波及しますね。
既に悪用が確認されているということで、喫緊のパッチ適用が必須。
弊社も使ってて、1000件くらいあるメールアドレスを全部PW変えた。
漏洩したのは落ち度ですが、正直ゼロデイは少し同情しますね。
脆弱性が修正される前に侵入されたのかな?にしても侵入を検出できなかったIIJの技術力は、その程度。