🦆
Active!Mail6の影響範囲を調べてみる
なぜ作成したのか
- KAGOYAからも影響が発表されてたので範囲が広そうと思い、観測できる範囲で調べてみる
参考
Active! Mail 脆弱性(JVN#22348866)の概要
-
脆弱性種別 :
- スタックベースのバッファオーバーフロー(CWE‑121)
-
影響バージョン :
- Active! Mail 6 BuildInfo 6.60.05008561 以前
-
想定される影響 :
- 細工されたリクエストにより 任意コード実行/DoS。
- 開発元は「悪用を確認済み」と公表
-
深刻度 :
- CVSS v3 基本値 9.8(Critical)
-
対策 :
- 2025‑04‑16 公開の BuildInfo 6.60.06008562 へアップデート
この脆弱性は OEM/ホスティング各社の Webメール基盤にも組み込まれており、サービス停止・緊急パッチ・情報漏えい といった影響が波及しました。以下に公式発表ベースで整理します。
| 事業者/組織(サービス) | 公表日 | 影響・障害内容 | 対応状況 |
|---|---|---|---|
| IIJ〈セキュア MX サービス〉 | 4/15 | 2024‑08‑03 以降の不正アクセスで 最大約 407 万アカウントの情報漏えい可能性 | 侵入経路遮断済み・調査継続(※告知時点で脆弱性との因果関係は未公表) |
| J:COM | 4/16 | IIJ セキュア MX 利用。自社メールデータに 漏えいなしを確認 | IIJ の調査結果を注視、追加事実あれば再告知 |
| 富山大学 総合情報基盤センター(学内 Active! Mail) | 4/17 | 4/18 12:00‑13:00 の間に 30 分の計画停止 | 緊急メンテナンス実施 |
| クオリティア(開発元) | 4/18 | 脆弱性詳細を公表。RCE/DoS のリスクを明示 | 修正版 BuildInfo 6.60.06008562 を提供、JVN に届け出 |
| NTT Com〈Bizメール&ウェブ プレミアム r3〉 | 4/18 16:10 | サービスは Active! Mail を使用。パッチ適用済み、過去影響は調査中 | 継続利用可、追加情報は追って告知 |
| CPI レンタルサーバー | 4/18 18:08 | 安全性保証できず 当日 20:00 から Active! Mail 全面停止 | バージョンアップ確認後に再開予定 |
| アルファメールプレミア(大塚商会) | 4/18 | 脆弱性公表を受け 23:00‑23:05 に 1 分停止し緊急バージョンアップ | 全コースでアップデート完了 |
| フォーバルテレコム〈fitAir シリーズ〉 | 4/21 | 09:18‑16:00 Webメール停止。原因を「当該脆弱性が起因」と推察 | 復旧済み(サービス再開) |
管理者が取るべきアクションチェックリスト
| 優先度 | 推奨対策 |
|---|---|
| ★★★ | 即時バージョン確認と 6.60.06008562 へのアップデート(オンプレ環境含む) |
| ★★☆ | WAF・IPS で JPCERT 提示の IOC/シグネチャを適用し、異常リクエストを遮断 |
| ★★☆ | 4/16 以前のログを横断検索し、segfault/core dump/未知プロセス生成 の有無を確認 |
| ★★☆ | 管理者/ユーザパスワードの強制リセット+OAuth/IMAP トークン無効化 |
| ★☆☆ | 外部委託・OEM 先に利用有無を確認し、SaaS だから安全 という前提を捨てる |
| ★☆☆ | 影響有無の対外説明テンプレートを準備(FAQ・問合せ窓口・公表方針) |
ポイント : “脆弱性は直したが漏えい有無は未確定”─このステータスで停滞すると二次被害が拡大します。修復・封じ込めと並行して証跡保全→フォレンジック→被害通知の体制を早急に回すことが重要です。
Discussion