個人情報漏洩の経緯
2024年8月3日、IIJ(株式会社インターネットイニシアティブ)の法人向けクラウドメールセキュリティサービス「IIJセキュアMXサービス」の内部で、異変が始まっていました。このとき、サービスの一部環境において、攻撃者による不正なプログラムが設置され、長期にわたって稼働し続けていたのです。しかし、この兆候はセキュリティ監視体制において検知されることなく、組織の誰の目にも留まらないまま時間が過ぎていきました。
IIJは、国内有数のインターネットサービスプロバイダであり、長年にわたり法人向けインフラサービスを提供してきた実績を持ちます。とりわけ「セキュアMXサービス」は、企業や自治体が導入する信頼性の高いメールセキュリティソリューションとして知られていました。しかし、攻撃者はその信頼の裏をかくように、第三者製メールソフトウェア「Active! mail」に存在したゼロデイ脆弱性を突き、IIJのサービスインフラを侵害することに成功したとみられています。
事態が表面化したのは、2025年4月10日。IIJの運用チームが、通常とは異なるログ挙動や内部アクセスの異常に気付き、調査を開始します。翌週の4月15日、同社は緊急のプレスリリースを発表し、「最大で6,493契約・約407万件に影響する可能性がある」と発表しました。この時点ではまだ被害の全容が不明で、調査の初期段階であったことから、あくまで“最悪のケースを想定した上限値”として報告されました。
調査は急ピッチで進められ、4月18日には、攻撃に利用された脆弱性が「Active! mail」のバッファオーバーフローであることが特定されました。この脆弱性は、IPAおよびJVN(Japan Vulnerability Notes)に「JVN#22348866」として緊急登録され、各事業者に即時の対処が促されることになります。IIJもこの報告を受けて、該当コンポーネントの緊急置き換えと防御体制の強化に着手しました。
さらに4月22日、調査結果の第2報が発表され、当初想定よりも被害が限定的であることが判明しました。実際に漏洩が確認されたのは、132契約(311,288メールアカウント)であり、うち6契約ではメール本文やヘッダー情報、488契約では連携するクラウドサービス(Microsoft 365やGoogle Workspace等)の認証情報が含まれていたことが確認されました。この時点でIIJは影響を受けたすべての契約者に個別通知を行い、パスワードの強制リセットとアクセス制限などの措置を実施します。
問題はそれだけに留まりませんでした。この不正アクセスは、発生から検知までに8カ月以上を要したこと、そして被害規模が法人契約の範囲に及ぶ点から、社会的に大きなインパクトを持つこととなります。2025年5月13日に開催されたIIJの決算説明会では、谷脇社長自らが記者会見に登壇し、事件の経緯と再発防止への取り組みを説明しました。特に「検知までに時間がかかった要因」として、従来の防御モデルに依存しすぎていた点、可視化の弱さ、脆弱性の管理不備などが語られ、社内のセキュリティガバナンスが見直される契機となったことが述べられました。
以降、IIJは大規模な再発防止策を打ち出します。6月下旬までに、Webアプリケーションファイアウォール(WAF)の多層化、振る舞い検知型のセキュリティ機構(EDR的要素)などを導入。また、情報開示の透明性を保つため、更新された情報はすべて公式Webサイトで随時公開される体制に移行しました。
そして2025年7月18日、総務省より本件に対する正式な行政指導が下され、IIJはその内容を受け入れるとともに、再発防止に向けた「社長直轄のプロジェクト体制」を発足させたことを公表しました。これにより、単なるサービス単位での修正にとどまらず、会社全体のセキュリティ意識と体制を抜本的に見直す取り組みが始まったのです。
2025年 日本国内・国外の個人情報漏洩・漏洩疑い事例
以下は、日本国内の2025年における「不正アクセス」「誤操作/設定ミス」「内部不正」による漏洩・疑いの全事例を集めた表です。
| 日付 | 組織/企業 | 漏洩件数 | 原因カテゴリ | 備考・詳細 |
|---|
| 2025/03/12-03/13 | 日本マクドナルド | 8,989件 | 設定ミス・誤送信 | メール配信システムミス |
| 2025/03/19 | 神戸須磨シーワールド | 12,931件 | 設定ミス | Webシステム設定ミス |
| 2025/04/16 | みずほ信託銀行 | 2,472人+246社 | 誤送信 (委託含む) | メール誤送信 |
| 2025/03/03 | おやつカンパニー | 約170,000件+450件 | 不正アクセス | キャンペーン応募データ |
| 2025/02/06 | NTTコミュニケーションズ | 17,891社分 | 不正アクセス | 設備侵害 |
| 2025/02/22-02/27 | 徳島県教育委員会 | 約140万件 | 不正アクセス | サーバー不審メール発出 |
| 2025/04/05-05/28 | 柏崎青果 | 1,198件 | 不正アクセス | ECサイト侵入 |
| 2025/05/23 | マリンオープンイノベーション機構 | 1,455件 | USB紛失 | 紙媒体/USB紛失 |
| 2025/02/28-03/10 | 三菱地所ホテルズ&リゾーツ | 非公表 | 設定ミス/システム運用 | 予約者データ |
| 2025/06/24 | ぴあ | 非公表 | 設定ミス/システム運用 | 顧客情報 |
| 2025/04/28 | クミアイ化学 | 非公表 | 設定ミス/システム運用 | 社員情報 |
| 2025/06/12 | タイヨー | 9件 | 設定ミス/誤操作 | イベント参加者 |
2025年以前発生していて、報告が2025年に行われている事例もありました。また、漏洩していることや漏洩している可能性があることを運営側が検知できず、後の定期的なセキュリティ診断によって発覚したり、利用者からの問い合わせによって発覚したりするケースも散見されました。
また、半導体産業、自動車産業などの軍事転用可能な企業や、銀行、証券、保険などの金銭目的の企業ではなく、さまざまな業種で起きているということも注目すべき点です。
個人情報漏洩事例から見えてくる問題点や課題
2025年に発生・報告された情報漏洩に関する各事例からは、情報セキュリティにおけるいくつかの共通した課題が見えてきます。こうした課題は、単一の技術的要因に起因するものではなく、運用や体制、組織の設計方針にまで広く関係しており、包括的な見直しの必要性が浮き彫りになっています。
まず一つ目の課題は、脆弱性の管理と検知体制の遅れです。特に外部製品やサービスを組み込んだシステムにおいては、当該ソフトウェアのセキュリティ更新やリスク把握が後手に回るケースが少なくありません。今回公表されたIIJのセキュアMXサービスでは、メール閲覧用ソフトウェアに内在していた脆弱性が長期間にわたり悪用されていた可能性があり、結果として複数の契約先のメールアカウントや認証情報が外部に漏洩したとされています。このような事態は、既知の脆弱性に迅速に対応する体制や、ゼロデイ攻撃に備えた振る舞い検知の導入などが十分でなかったことを示唆しています。
二つ目の課題は、人為的ミスの継続的な発生です。2025年に報告された情報漏洩事例の中には、メールの誤送信やWebシステムの設定ミスに起因するものも複数含まれていました。これらは高度な技術を要する攻撃によるものではなく、組織内の運用プロセスや確認手順の甘さから発生しています。たとえば、誤送信防止の機構や二重確認の運用ルールが適切に整備されていれば防げた事例も少なくありません。こうした背景から、セキュリティ対策は技術面だけでなく、業務設計や日常運用の中に組み込まれている必要があります。
三つ目は、委託先や外部サービスに関するセキュリティ管理の不十分さです。多くの企業や団体がクラウドベースのサービスや外部委託業者の技術に依存している現在、その利用形態に応じたリスク評価と監視が求められています。たとえば、IIJのようなサービス提供事業者が被害を受けた場合、その影響は直接の契約者を越えて二次的・三次的に波及する可能性があります。利用者自身がサービス提供元のセキュリティ状況を継続的に確認し、リスクベースで利用範囲を見直すといった姿勢も必要です。
四つ目として挙げられるのは、インシデント発生時の初動対応と情報開示のあり方です。情報の開示が遅れた場合、関係者の対応が後手に回り、影響が拡大する恐れがあります。2025年に報告された複数の事例において、調査結果の確定に時間を要したことや、影響範囲の特定に段階的な発表がなされたことが、ユーザー側の混乱を招く一因となりました。もちろん、正確な情報を提供するには慎重な調査が必要ですが、並行して適切な段階的説明や予防的対応の提案がなされることが望まれます。
五つ目として挙げられるのは、あらゆる業種・業界が狙われるという点です。半導体業界や自動車業界のように軍事転用可能な技術を奪うことを目的とした不正アクセスや金銭目的で銀行、証券、保険といった金融関連尾企業を狙うことがよく報道されていますが、個人情報を盗むという点においては、業態に関わらず脆弱な企業や団体を狙っていることがわかります。また、単一のシステムでは個人情報として十分でなくとも、複数のシステムの情報を組み合わせることで個人情報または個人情報相当の情報になる場合もあるため、自分のところのシステムはそれほど重要な情報を扱っていないから大丈夫と安易に考えず、常にセキュリティ対策の意識を持つことが大切です。
これらの課題は、特定の組織や業種に限定されたものではなく、情報を扱うあらゆる業務に共通するものです。そして、多くの課題は、技術、運用、体制のいずれか一つでは対応しきれず、三者を連動させた取り組みが不可欠です。次章では、それぞれの観点からどのような対策が求められるかを考察します。
対策:技術・体制・運用の三位一体アプローチ
2025年に報告された複数の情報漏洩事例を通じて明らかになったように、情報セキュリティ対策は、単なる技術的な対応だけでは不十分です。多くの問題が、運用上の不備や体制面での遅れに起因しており、より堅牢な防御体制を構築するには、技術・運用・体制の三つを一体として捉え、相互に補完し合う設計が必要です。この章では、それぞれの観点から必要な対策を具体的に考察します。
技術面の対策
技術的な防御は、セキュリティ対策の土台として最も直接的で重要な役割を担います。まず、サーバーやネットワーク機器、ミドルウェア、そして外部製品などにおいて、既知の脆弱性に対するパッチ適用を継続的かつ計画的に行う体制が求められます。特に外部製のライブラリやアプライアンス製品は、利用者が直接コードに手を加えられないため、脆弱性情報(CVE、JVNなど)の監視と、サプライヤーからのアラートの即時対応が重要です。
また、未知の攻撃への対応として、振る舞い検知型のセキュリティ機構(EDRやXDR)の導入が有効です。これにより、従来型のウイルス定義ベースでは見逃されていた不審なプロセスやネットワーク通信をリアルタイムで検知・遮断することが可能になります。さらに、WAF(Web Application Firewall)の導入によって、SQLインジェクションやクロスサイトスクリプティングなどのWeb系攻撃への入口防御を強化することも基本的な備えとして有効です。
データ保護という点では、TLS(HTTPS)による通信の暗号化と、データベースに保存される個人情報の暗号化が求められます。特に、管理者や開発者でも復号できない形式での保存(アプリケーションレベルでの暗号化)を導入すれば、万一内部からのアクセスがあっても、データがすぐには読み取れないという抑止効果を持ちます。暗号鍵については、KMS(Key Management Service)を利用し、鍵の分離・アクセス制御を行うことが推奨されます。
運用面の対策
運用上の不備による情報漏洩、特に誤送信や設定ミスは、技術的な対策だけでは完全に防ぐことができません。これらは人の操作や確認工程に起因するため、ミスを前提とした業務設計が不可欠です。
たとえば、メール誤送信対策として、送信前に宛先の確認を促す送信ポップアップ機能や、社外宛メールの上長承認機能、誤送信防止プラグインの導入が挙げられます。Web公開設定ミスに関しても、インフラやクラウドの構成変更があった際に自動スキャンを行い、パブリック設定になっていないかを検知するツール(例:AWS Config、Google Cloud Security Command Center)を活用することで、人的な設定漏れを検出できます。
また、ログ管理とアクセス権限の見直しも重要です。すべてのアクセスにログが残るよう設計し、特権アカウントの利用は最小限に限定すること。加えて、業務用データと個人情報の保存領域を明確に分離し、操作ログと監査ログを定期的にレビューすることで、内部不正や不要なアクセスを早期に検出できます。
運用の強化はまた、委託先業者の管理にも関わります。情報システムの一部や運用業務を外部に委託している場合、委託元は業者のセキュリティ管理状況について十分に把握し、必要に応じて監査や改善要請を行う責任があります。契約時点で「個人情報を取り扱う範囲」「漏洩発生時の責任」「監査義務」などを明確化しておくことが、事後の対応力を高めることにつながります。
体制面の対策
技術と運用を適切に機能させるためには、それを支える組織体制の整備が欠かせません。特に、**インシデント対応体制(CSIRT:Computer Security Incident Response Team)**の整備は、多くの企業で今後ますます重要性を増すと考えられます。インシデントの発生から初動、影響範囲の特定、再発防止策の策定、関係者への報告といった一連のプロセスを、標準化されたフローとして事前に準備しておく必要があります。
情報漏洩のような重大な問題が発生した際、どの部署が主導するのか、法務・広報との連携はどうするのか、顧客や行政機関への通知タイミングはどう定めるのか。これらを含めた事前準備と定期的な訓練がなければ、実際の発生時に組織が混乱し、対応が遅れるリスクが高くなります。
また、社内教育の継続的な実施も体制強化の一部です。情報セキュリティポリシーやガイドラインがあっても、それが日常業務に活用されていなければ意味がありません。eラーニングやワークショップ形式の教育機会を定期的に設け、過去の実例を使って理解を深める機会を設計することで、社員一人ひとりが自分の操作や判断がセキュリティにどう関わるかを自覚することができます。
このように、技術・運用・体制の三つの軸を個別に整備するだけでなく、それらを有機的に結びつけることが、現代におけるセキュリティ対策の基本といえます。脆弱性への即応、ヒューマンエラーの抑制、インシデント対応体制の整備——いずれも単独では機能せず、相互に支え合う形でのみ、実効性を発揮します。
次章では、こうした対策の導入を検討する際に、どこから着手すればよいか、どのように優先順位をつけて組織に適用していくかについて考察していきます。
まとめ
2025年に公表された一連の個人情報漏洩に関する報告は、技術的な脆弱性の悪用、業務上の不備、設定ミス、さらには外部サービスや委託先との連携に起因するものまで多岐にわたりました。特にIIJのセキュアMXサービスに関する不正アクセス事例は、その発覚までに長期間を要し、影響が大規模かつ多方面に及んだ点で、注目を集める事例となりました。これは、特定の企業だけでなく、クラウド型のサービスを利用するあらゆる組織にとって、他人事では済まされない現実を突きつけるものです。
こうした情報漏洩の要因を振り返ると、「最新のセキュリティ機器を導入していれば安心」という考え方が十分ではないことが分かります。むしろ、技術・体制・運用の三要素がそれぞれの役割を果たしながら、全体として一貫した方針に基づいて機能しているかどうかが問われています。たとえば、技術的に安全な仕組みが整っていても、設定ミスひとつで外部に情報が公開されてしまうことは現実に起こりうるリスクです。また、インシデント発生時に初動体制が整っていなければ、被害の拡大や社会的な信用失墜を招く恐れもあります。
特に注目すべきは、人間の判断や操作に起因する情報漏洩が依然として多いという点です。誤送信や誤設定、アクセス制御の見落としといったヒューマンエラーは、最新のセキュリティツールでは防ぎきれない領域であり、業務設計の中にリスクを想定したプロセスをあらかじめ組み込むことが重要です。システムに頼るのではなく、「人が失敗し得る」ことを前提に、二重確認や自動チェックといった仕組みを自然に埋め込んでいく必要があります。
一方で、技術面の対応についても過信は禁物です。脆弱性の早期発見・修正、通信と保存の両方における暗号化、侵入検知とログ監視の強化など、技術は「基盤」として支える存在であって、それ単体では組織の情報を守り切ることはできません。定期的なレビューと改善、そして自社で管理できない部分に対する透明性の確保(たとえばクラウドサービスのセキュリティステータスの可視化など)が、技術を「機能するもの」として活かすために不可欠です。
さらに、組織全体としてのセキュリティリテラシー向上も欠かせません。社内教育やシミュレーション訓練、CSIRTによる即応体制、委託先との連携強化など、一つの問題を部門任せにせず、横断的な対応ができる文化を育てていくことが、中長期的な信頼性の向上につながります。
今後の情報社会において、情報漏洩を完全にゼロにすることは現実的ではないかもしれません。しかし、被害の発生を減らし、起きた際の影響を最小限に抑える努力を積み重ねることは、すべての組織にとって避けられない責任です。本稿で紹介した考察や対策が、今後の情報セキュリティの見直しや施策立案の一助となれば幸いです。
参考文献
