Active!Mailのゼロデイ・リモートコード実行脆弱性が、日本の大組織への攻撃で活発に悪用されている。
Active!メールは、当初TransWARE社によって開発され、後にQualitia社によって買収されたウェブベースの電子メールクライアントである。
GmailやOutlookのように世界的に広く使われているわけではないが、Active! は大企業、大学、政府機関、銀行などの日本語環境でグループウェアのコンポーネントとしてよく使われている。
同ベンダーによると、Active! は2250以上の組織で利用されており、1100万以上のアカウントを誇っている。
先週末、Qualitiaは、CVE-2025-42599(CVSS v3スコア:9.8、「重要」)で追跡されているスタックベースのバッファオーバーフローの脆弱性に関するセキュリティ情報を公開した。
「悪意を持って細工されたリクエストがリモートのサードパーティから送信された場合、任意のコードが実行されたり、サービス拒否(DoS)状態が引き起こされる可能性があります。
ソースはこちら:nekono_naha|X
Qualitiaは、この欠陥が悪用されたかどうかを調査していると言及しているが、日本のCERTは、そのアクティブな悪用ステータスを確認し、すべてのユーザーにActiveへのアップデートを促している!Mail 6 BuildInfo: 6.60.06008562に早急にアップデートするよう促している。
日本のウェブホスティングおよびITサービス(SMB)プロバイダーであるカゴヤ・ジャパンは、週末に複数の外部からの攻撃があったことを報告し、サービスの一時停止を促した。
「この問題は、QUALITIA(開発元)が公表した脆弱性に関連していると思われます」と、カゴヤ・ジャパンが先に発表した速報には書かれている。
悪用が試みられたと思われる同様のサービス停止は、ウェブホスティングおよびITサービスプロバイダーのWADAXからも報告されている。
「WADAXは、「現段階では、お客様にサービスを安全にご利用いただくことを保証することはできません。
「そのため、お客様の安全を第一に考え、予防措置としてActive!
マクニカのセキュリティ研究者である瀬地山豊氏は、これらの攻撃にさらされる可能性のあるインターネットに露出したActive!サーバーは少なくとも227台あり、そのうち63台は大学で使用されていると述べた。
日本のCERTは、セキュリティアップデートをすぐに適用できない場合の具体的な緩和策として、HTTPリクエストボディの検査を有効にし、multipart/form-dataヘッダのサイズが一定の閾値を超えた場合にブロックするようにWebアプリケーションファイアウォール(WAF)を設定することを提案している。
更新 4/23– 日本のインターネットサービスプロバイダであるIIJも、CVE-2025-42599を標的とした攻撃の影響を受け、顧客情報が漏洩したと発表した。この攻撃は4月15日に初めて検出され、ゼロデイとしてこの欠陥が悪用されたことを示している。
Comments