IIJ不正アクセス事件が示す「見えない攻撃」の脅威――ゼロデイと長期潜伏が突きつけた教訓

2025年4月、日本のインターネット黎明期から業界を牽引してきたインターネットイニシアティブ（IIJ）が、法人向けに提供するメールセキュリティサービス「セキュアMXサービス」で深刻な不正アクセス被害を受けたことを公表しました。この発表は、多くの企業や組織に衝撃を与えました。当初の発表では最大で約407万件のメールアカウントに影響が及ぶ可能性が示唆され、顧客情報の流出という最悪の事態も懸念されました。その後の調査で、実際に情報流出が確認された契約は586件に絞り込まれたものの、この事件は現代のサイバーセキュリティが直面する根深い課題を浮き彫りにしました。攻撃の起点は、公表から約8ヶ月も前の2024年8月にまで遡り、その手口は未知の脆弱性を突く「ゼロデイ攻撃」と、システムに存在する正規ツールを悪用して活動の痕跡を消す「環境寄生型攻撃（Living off the Land）」が組み合わされた、極めて巧妙なものでした。なぜ、これほど長期間にわたって攻撃は検知されなかったのか。この事件は、従来のセキュリティ対策の限界と、これからの防御体制に何が求められるのかを、私たちに痛切に問いかけています。本記事では、事件の経緯から原因、そして企業が実務レベルで得るべき教訓までを深く掘り下げ、その全貌を解き明かしていきます。

事件の全貌――発覚から被害確定までの道のり

事件が公になったのは、2025年4月15日のことでした。IIJは、その5日前の4月10日にサービス設備上で不審なプログラムの実行を検知したことをきっかけに、緊急調査を開始。事態の深刻さを鑑み、第一報として不正アクセスの事実を公表するに至ります。この時点では被害の全容がまだ確定していなかったため、IIJは最悪のシナリオを想定した「最大影響範囲」を提示しました。その内容は、セキュアMXサービスの全契約者である最大6,493契約、メールアカウント数にして約407万件が影響を受ける可能性があるという、非常に広範なものでした。流出した可能性のある情報として、メールアカウントのIDとパスワード、送受信されたメールの本文やヘッダ情報、さらには利便性のために連携設定されていた他社クラウドサービスの認証情報までが挙げられ、多くの利用企業が自社の情報資産の安否確認に追われることとなりました。

この第一報は、影響範囲が最大想定であったがゆえに、社会全体に広範な注意喚起を促す結果となりました。IIJのサービスを利用していた多くの企業や団体は、自社のウェブサイトなどで状況説明の告知を掲載し、顧客や取引先への影響がないかどうかの確認を急ぎました。例えば、日本経済団体連合会（経団連）は、IIJからの調査結果報告を受け、「お客様や取引先に関する情報流出はないことが確認できた」といち早く安全宣言を発信しています。このように、多くの組織が最終的に「影響なし」と確認できたことは不幸中の幸いでしたが、初動段階で最大リスクを共有するというIIJの判断が、結果として社会的な警戒レベルを引き上げ、迅速な対応を促した側面は大きいと言えるでしょう。

そして4月22日、IIJは詳細調査の結果をまとめた第二報を発表します。ここで初めて、「情報流出が事実として確認できた範囲」が具体的に示されました。その結果、実際に被害が確定した契約数は586件にまで絞り込まれました。その内訳を見ると、メールアカウントとパスワードの流出が132契約、メール本文およびヘッダ情報の流出が6契約、そして最も件数が多かったのが、他社クラウドサービスとの連携に用いられる認証情報の流出で、実に488契約に上りました。影響を受けたメールアカウントの総数は311,288件にのぼり、決して小さな規模ではありません。しかし、第一報で示された「最大407万件」という数字からは大幅に縮小されたことで、多くの利用者は安堵のため息をつくとともに、被害の特定がいかに困難な作業であったかを改めて認識させられました。この一連の発表は、サイバーインシデント発生時における情報公開の難しさと、段階的に事実を確定させていくプロセスの重要性を示す事例となりました。

攻撃の巧妙な手口――なぜ8ヶ月間も気づかれなかったのか

なぜ、IIJほどの技術力を持つ企業が、8ヶ月もの長きにわたり侵害に気づけなかったのでしょうか。その答えは、攻撃者が用いた極めて巧妙かつ発見困難な手口にあります。IIJの調査報告によれば、攻撃の最初の侵入口となったのは、セキュアMXサービスで利用されていたサードパーティ製のウェブメールソフトウェア「Active! mail」に潜んでいた、当時まだ誰にも知られていなかった脆弱性でした。これは、いわゆる「ゼロデイ脆弱性」と呼ばれるもので、ソフトウェアの開発元ですらその存在を認識しておらず、当然ながら修正パッチも提供されていない、最も危険な種類の欠陥です。

この脆弱性は、後に「CVE-2025-42599」という識別番号で公表されました。その内容は、認証されていない外部の攻撃者からでも、特別に細工されたリクエストを送りつけることで、サーバ上で任意のプログラムを実行させたり、サービスを停止させたりすることが可能になるという、極めて深刻なものでした。開発元であるクオリティア社は、脆弱性の報告を受けて迅速に対応し、4月16日には修正版ソフトウェアをリリース。JPCERT/CCなどのセキュリティ機関も緊急の注意喚起を発出し、直ちにアップデートが適用できない場合の暫定的な回避策を提示するなど、事態の収束に向けた動きが加速しました。

しかし、攻撃者はこのゼロデイ脆弱性を利用して最初の足がかりを築いた後、さらに巧妙な手口でシステム内部に潜伏を続けました。それが、「Living off the Land（LotL）」、日本語では「環境寄生型攻撃」と呼ばれる手法です。これは、攻撃者がわざわざ外部から新たなマルウェアを持ち込むのではなく、標的のシステム内に最初からインストールされている正規の管理ツールやOSの標準機能（PowerShellやWMIなど）を悪用して活動する攻撃です。正規のツールによる操作は、システム管理者による通常のメンテナンス作業と見分けがつきにくく、ログを監視していても異常として検知することが非常に困難です。攻撃者は、まるでその土地の住人であるかのように振る舞い、システムの”生活音”に自らの活動音を紛れ込ませるのです。

従来のセキュリティ対策の多くは、既知のマルウェアのパターン（シグネチャ）を検出することに主眼を置いています。しかし、LotL攻撃では新たなマルウェアが使われないため、こうしたシグニチャ型の検知システムは沈黙してしまいます。IIJの経営陣も決算発表の場で、この検知の難しさを繰り返し強調しており、今回の事件が「ゼロデイ攻撃で侵入し、内部ではLotLで活動する」という、現代のサイバー攻撃の典型的なパターンであったことを示唆しています。この「見えにくさ」こそが、攻撃者に8ヶ月間もの潜伏を許してしまった最大の要因であり、今日のセキュリティ対策が直面する大きな課題を象徴しているのです。

事件が残した教訓と、私たちが進むべき道

この深刻なインシデントは、IIJ一社の問題に留まらず、ITサービスを提供するすべての事業者、そしてそれを利用するすべての企業にとって、貴重かつ重い教訓を残しました。まず、IIJ自身が打ち出した恒久対策は、今後のセキュリティ戦略の方向性を示しています。その柱は「ふるまい検知の強化」と「WAF（Web Application Firewall）の多層化」です。ふるまい検知とは、個々のログやアラートを単体で見るのではなく、プロセス生成、通信、権限の移譲といった一連のイベントを相互に関連付けて分析し、攻撃シナリオ全体として「いつもと違う振る舞い」を検知するアプローチです。これは、正規ツールを悪用するLotL攻撃のような、痕跡が残りにくい活動を捉えるために不可欠な技術であり、IIJがこの強化を急いだのは当然の帰結と言えるでしょう。

一方で、この事件は行政も動かしました。総務省は、メールサービスが国民生活における重要な通信インフラであるとの認識から、通信の秘密の保護に問題があったとして、IIJに対して文書による行政指導を行いました。これは、再発防止策の徹底はもとより、業界全体のセキュリティ水準の向上に貢献するよう求めるものであり、社会インフラを担う企業の重い責任を改めて示すものとなりました。また、見逃せない論点として、サービスを既に解約した顧客の情報が流出対象に含まれていた事実が挙げられます。これは、「保持しているデータは、それ自体がリスクである」というデータ管理の根源的な原則を突きつけます。攻撃者は、そこにあるからこそデータを”取りに来る”のです。この事実は、事業者と利用者の双方に対し、データ最小化の重要性を強く訴えかけています。

この事件から、私たちが実務レベルで学ぶべき教訓は、大きく三つに集約できます。第一に、「第三者コンポーネントのリスク管理の徹底」です。自社で開発したコードが完璧であっても、利用している外部のソフトウェアやライブラリに脆弱性があれば、そこが侵入口となり得ます。自社のシステムがどのようなソフトウェア部品で構成されているかを正確に把握する「SBOM（ソフトウェア部品表）」の整備や、脆弱性情報を常時監視する体制の構築は、もはや待ったなしの課題です。

第二に、「検知・対応パラダイムの転換」です。前述の通り、従来のシグニチャ型検知だけでは巧妙な攻撃を防ぎきれません。今後は、エンドポイント、ネットワーク、クラウドなど、複数のログを横断的に相関分析し、攻撃の兆候をシナリオとして捉える「XDR（Extended Detection and Response）」のような、ふるまいベースの検知へと軸足を移す必要があります。異常な挙動を検知した際に、即座にアカウントを隔離したり通信を遮断したりする、統合的な監視・応答体制の強化が急務です。

そして第三に、「データ最小化の原則の徹底」です。不要になったデータは、保持し続ける限り漏えいのリスクとなり続けます。サービス設計の段階から、解約後のアカウント情報や連携用の認証情報を、いかに迅速かつ安全に消去するかというプロセスを組み込んでおくべきです。利用者側も、使わなくなったサービス連携の設定を定期的に見直し、不要な認証トークンを無効化するなど、自らのデジタル上の足跡を最小限に留める努力が求められます。

今回のIIJの事件は、ゼロデイ攻撃とLotL攻撃が組み合わさった、まさに「検知しにくい侵害」の典型例でした。入口を素早く塞ぐ防御力に加え、日常業務に紛れた異常な”ふるまい”を捉える洞察力、そしてそもそも狙われる対象を減らす「持たない」設計。この三位一体の総合力が、未来のインシデントにおける被害を最小化する鍵を握っています。