総務省、ゼロデイ攻撃被害のIIJに行政指導 - 業界水準向上も求める

インターネットイニシアティブ（IIJ）で通信の秘密が漏洩した問題を受け、総務省は2025年7月18日、同社に対して行政指導を行った。同社における再発防止にくわえ、業界全体のセキュリティ水準向上に向けた取り組みを求めている。

法人向け電子メールホスティングサービス「IIJセキュアMXサービス」が、サーバで稼働するソフトウェアのゼロデイ脆弱性を突かれ、外部から不正侵入を受けたもの。2024年8月3日から2025年4月17日にかけて情報流出が発生した。

同省は同問題において電気通信事業法における通信の秘密の漏洩が認められたと指摘。同社に対して再発防止策の徹底を指導した。

また今回の措置で、業界全体における将来的なサイバーセキュリティ水準の向上へ向けた取り組みについてもあわせて求めている。

行政指導を受けて、IIJは迷惑と心配をかけたとしてあらためて関係者に謝罪した。再発防止に向けたセキュリティ対策や監視体制を検討し、サービス設備における振る舞い検知機能の強化を6月26日に完了したと報告。ウェブアプリケーションファイアウォール（WAF）による防御の強化を7月中に完了する見込み。

またサービス全体のセキュリティレベルを高度化するため社長直轄のプロジェクトを立ち上げ。再発防止に向けた対策を確実に実施するとともに、全社での情報セキュリティ体制の強化に取り組むとしている。

（Security NEXT - 2025/07/23 ）ツイート