GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)は、2025年4月25日(金)に、ホワイトハッカーのノウハウを詰め込んだアタックサーフェスマネジメント (Attack Surface Management、以下ASM)(※1) ツール「GMOサイバー攻撃 ネットde診断 ASM」の自動脆弱性診断機能を拡張し、Webメールソフトウェア「Active! mail(アクティブメール) 以下、「Active! Mail」」のバージョン情報および既知の脆弱性が検知可能となりました。
「Active! mail」は2025年4月18日(金)に脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」にて「スタックベースのバッファオーバーフローの脆弱性(CVE-2025-42599)」という緊急度が極めて高い脆弱性が公開されており、提供元の株式会社クオリティアはユーザーに対し最新バージョンにアップデートを呼びかけています。
(※1) IT資産の脆弱性やリスクを継続的に検出・評価する取り組みのこと。
【機能拡張の概要】
■「Active! mail」における「スタックベースのバッファオーバーフロー脆弱性」とは
「Active! mail」における「スタックベースのバッファオーバーフローの脆弱性」は、遠隔の第三者(攻撃者)が細工したリクエストを送信することで、以下のような深刻な影響を及ぼす可能性があります。
・任意のコードを実行
・サービス運用妨害(DoS)状態を引き起こす
これらの脆弱性の危険度を表すCVSSスコア(※2)は9.8(最高値は10.0)と極めて高く、この脆弱性を悪用した攻撃が既に確認されているということから、早急な対応が必要です。
2025年4月18日(金)に「JVN」および株式会社クオリティアのコーポレートサイトにて、本脆弱性情報および修正済バージョンの公開を発表しています。ユーザーの皆さまには、最新バージョンへのアップデートと、万が一に備えたメールアドレスのパスワードの変更を推奨いたします。
| 対象製品 | 「Active! mail(アクティブメール)」 |
| 想定される影響 | 遠隔の第三者(攻撃者)によって細工されたリクエストを送信された場合、任意のコードを実行されたり、サービス運用妨害(DoS)状態を引き起こされたりする可能性があります。 |
| CVSSスコア | 基本値: 9.8 |
| CVE番号(※3) | CVE-2025-42599 |
| 対策方法 | 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。 最新バージョン:Active! mail 6 BuildInfo: 6.60.06008562 |
(※2) システムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標で、Common Vulnerability Scoring Systemの略。
(※3) Common Vulnerabilities and Exposuresの略で、公開されているセキュリティ上の脆弱性を識別するための共通の識別子のこと
「GMOサイバー攻撃 ネットde診断 ASM」における「Active! mail」の脆弱性検知画面
【「GMOサイバー攻撃 ネットde診断 ASM」開発チームのコメント】
■サービス責任者 市川 遼
「Active! mail」は日本国内の様々な組織で利用されていますが、Webメーラーは侵害されるとメールアドレスを起点にパスワードがリセットされ、それにより他のサービスにも不正アクセスの被害が広がるリスクがあり、早急な対応が求められます。「GMOサイバー攻撃 ネットde診断 ASM」の「ドメイン棚卸」機能をご活用いただくと、自社で「Active! mail」を利用しているかどうか分からない場合でもドメインから辿って脆弱なバージョンのまま利用していないかスムーズに確認できます。
脆弱性対策はまずIT資産の把握から。「GMOサイバー攻撃 ネットde診断 ASM」はその第一歩をサポートします。
(参考) 「GMOサイバー攻撃ネットde診断 ASM」ホワイトハッカーのノウハウを活用した新機能「ドメイン棚卸」をリリース~お客様からの要望に応え、IT資産を自動で一覧化、アタックサーフェス管理の効率化を促進~
https://gmo-cybersecurity.com/news/20250214/
■診断エンジン開発者 大西 和貴
「GMOサイバー攻撃 ネットde診断 ASM」の開発チームは、サイバー攻撃の手法に精通したホワイトハッカーと、システム開発経験が豊富なエンジニアで構成されています。
今回報告された脆弱性は、その影響度から非常に危険性が高く、迅速な対応が必要です。当社は診断システムを自社で開発しており、柔軟な表現力を維持しつつ一定のフレームワーク化を図ることで、迅速なシグネチャの実装を実現しています。今後も脅威動向を注視し、安全なインターネット環境の実現に貢献してまいります。
【「GMOサイバー攻撃 ネットde診断 ASM」について】(https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/)
「GMOサイバー攻撃 ネットde診断 ASM」は、簡単かつ直感的に使用が可能な国産ASMツールです。お客様の社名やサービス情報、IPアドレスをもとに、攻撃対象となる可能性があるWebサイトやネットワーク機器を特定し、定期的なセキュリティ診断を実施します。これにより、自社IT資産の棚卸とリスクの可視化を行うことができます。
【GMOサイバーセキュリティ byイエラエについて】
(https://gmo-cybersecurity.com/)
GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。
