1. ホーム
  2. ニュース
  3. 【号外】注意喚起:Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性について

【号外】注意喚起:Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性について

セキュリティ 2025.4.18

1.概要

 2025年4月18日、株式会社クオリティアにより提供されるActive! mailにおけるスタックベースのバッファオーバーフローの脆弱性が発表されました。この脆弱性を悪用する脅威活動はすでに確認されており、4月18日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。
 本脆弱性(CVE-2025-42599)のCVSS v3.0のベーススコアは9.8(Critical)と極めて高く任意のコード実行可能な脆弱性のため、脆弱性対象のActive! mailを使用している場合は株式会社クオリティアより案内のある対策を実施することが推奨されています。

2.脆弱性情報詳細(CVE-2025-42599)

(1)スタックベースのバッファオーバーフロー攻撃とは
 Webアプリケーションを含むあらゆるプログラムは、指示された処理を行うためにメモリ上に「バッファ」と呼ばれる使用領域を確保しています。この「バッファ」の中でもローカル変数や関数の引数、リターンアドレスなどを格納するメモリの領域はスタック領域と呼ばれています。スタックベースのバッファオーバーフロー攻撃では、主にスタック領域のリターンアドレスが書き換えられ、意図しないコードが実行される可能性があります。

(2)脆弱性の概要
 Active! mailとは株式会社クオリティアが提供するWebメールソフトウェアであり、国内の企業や大学などで広く導入されているビジネスWebメールです。本脆弱性はActive! mailにおけるスタックベースのバッファオーバーフローの脆弱性です。本脆弱性が悪用されると、遠隔の第三者によって細工されたリクエストが送信され、任意のコードを実行されたり、サービス運用妨害(DoS)状態を引き起こされたりする可能性があります。特に任意のコード実行については、マルウェア感染や管理者権限の乗っ取り、情報漏洩などの被害が発生する可能性があります。

【図1】一般的なスタックベースのバッファオーバーフロー攻撃のイメージ

(3)影響を受けるシステムおよびバージョン
– Active! mail 6 BuildInfo: 6.60.05008561およびそれ以前のバージョン

(4)対策
 すでに本脆弱性の悪用を試みる攻撃が報告されており、本脆弱性のCVSSv3.0スコアが9.8と高く、脆弱性を悪用された場合に深刻な被害を受ける可能性があります。そのため、影響を受けるシステムおよびバージョンを利用している場合には速やかな対応が必要です。4月16日に、株式会社クオリティアから脆弱性に対応する修正バージョンが公開されておりますので、案内に沿ってアップグレードを実施してください。

(5)軽減策
 JPCERT/CCの記事によると、WAF(Webアプリケーションファイアウォール)を運用している場合に以下の検査や防御を有効にすることで、本脆弱性による影響を軽減できる可能性があります。

 ①HTTPリクエストボディの検査を有効にする。
 ②multipart/form-dataヘッダーのサイズが一定以上ならブロックする。
 
 すでに攻撃を受けていた可能性を確認する方法については、公式より判明次第随時更新されるようです。

3.まとめ

 本記事では、株式会社クオリティアが提供するActive! mailにおける最新の脆弱性(CVE-2025-42599)について詳細と対策を紹介いたしました。すでに当該脆弱性の悪用が確認されているため、当該製品をご利用の場合、株式会社クオリティアより案内のある修正版の適用が推奨されています。

4.参考情報

 ・JPCERT/CC
  Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性に関する注意喚起 2025年4月18日閲覧
  https://www.jpcert.or.jp/at/2025/at250010.html
 
 ・株式会社クオリティア
  Active! mail 6の脆弱性に関する重要なお知らせ 2025年4月18日閲覧
  https://www.qualitia.com/jp/news/2025/04/18_1030.html

5.SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
 SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

 セキュリティ運用監視サービス:https://www.ssk-kan.co.jp/e-gate#e-gate–02
 脆弱性診断サービス:https://www.ssk-kan.co.jp/vulnerability-assessment

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp