「Active! mail」に深刻度9.8の脆弱性 悪用によって複数の日本企業に影響：セキュリティニュースアラート

クオリティアのWebメールシステム「Active! mail」に深刻な脆弱性が見つかった。CVSS v3.0のスコア値は9.8で、深刻度「緊急」（Critical）と評価されている。同脆弱性の影響によって複数の日本企業で障害が発生している。

[後藤大地，有限会社オングス]

　クオリティアは2025年4月18日、同社のWebメールシステム「Active! mail」に深刻な脆弱（ぜいじゃく）性（CVE-2025-42599）が存在することを伝えた。この脆弱性を悪用することで、リモートから任意のコードを実行される可能性やサービス運用妨害（DoS）を受ける恐れがある。

JPCERTが注意喚起　複数の日本企業を狙った悪用も既に確認

　脆弱性は以下の通りだ。

　CVE-2025-42599：　スタックベースのバッファオーバーフローの脆弱性。認証されていないリモートの攻撃者によって作成、送信された、細工されたリクエストを受信すると任意のコード実行やDoS状態が発生する可能性がある。共通脆弱性評価システム（CVSS）v3.0のスコア値は9.8で、深刻度「緊急」（Critical）と評価されている

　影響を受けるバージョンは以下の通りだ。

• Active! mail 6 BuildInfo: 6.60.05008561およびこれ以前のバージョン

　修正済みのバージョンは以下の通りだ。

• Active! mail 6 BuildInfo: 6.60.06008562およびこれ以降のバージョン

　同脆弱性の公表後、影響を受けたサービス提供事業者による障害発生も報告されている。IIJの不正アクセス被害の他、レンタルサーバサービスを提供するカゴヤ・ジャパンでは、2025年4月21日に外部からの攻撃を確認し、Active! mailの一時的なサービス停止を実施した。サービスは同日夕方に復旧したが、その後も高負荷状態が続き、翌22日までアクセスが不安定な状況となった。

　同様に、法人・ビジネス向けのレンタルサーバ事業者WADAXでもActive! mailの脆弱性公表を受け、提供元と連携して対策版へのアップデート作業を実施した。2025年4月21日昼頃より、予防措置としてActive! mailのサービスを一時的に停止し、現時点では再開時期は未定とされている。

　今回の件についてJPCERTコーディネーションセンター（JPCERT/CC）は影響を受けるシステムの管理者に対し、最新版へのアップデートを適用するとともに、ログの保全や攻撃痕跡の調査を実施するように注意喚起している。さらにWebアプリケーションファイアウォール（WAF）による軽減策の導入も推奨している。特にHTTPリクエストボディーの検査を有効にし、特定のヘッダサイズのリクエストをブロックする設定が有効とされている。

　Active! mailを運用中の事業者やユーザーは開発元や関連機関が発信する最新情報を継続して確認するとともに、早急なアップデートや被害有無の調査を実施する必要がある。