弊社のグループ会社であるサービス&セキュリティ株式会社(本社:東京都渋谷区、代表取締役社長:姜 昇旭、以下「SSK」)は、
自社が運営するセキュリティオペレーションセンター(SOC)で提供している総合セ キュリティサービスにおいて、
新たに「デジタル・フォレンジックサービス」をラインアップに加え、2025年5月より提供開始いたします。
詳しい内容はSSKのホームページもしくは、以下のPDFファイルにてご覧いただけます。是非ご覧いただきますようお願いいたします。
SSKホームページ / ニュース https://www.ssk-kan.co.jp/topics/?p=15231
2025年4月18日、株式会社クオリティアにより提供されるActive! mailにおけるスタックベースのバッファオーバーフローの脆弱性が発表されました。この脆弱性を悪用する脅威活動はすでに確認されており、4月18日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。
本脆弱性(CVE-2025-42599)のCVSS v3.0のベーススコアは9.8(Critical)と極めて高く任意のコード実行可能な脆弱性のため、脆弱性対象のActive! mailを使用している場合は株式会社クオリティアより案内のある対策を実施することが推奨されています。
(1)スタックベースのバッファオーバーフロー攻撃とは
Webアプリケーションを含むあらゆるプログラムは、指示された処理を行うためにメモリ上に「バッファ」と呼ばれる使用領域を確保しています。この「バッファ」の中でもローカル変数や関数の引数、リターンアドレスなどを格納するメモリの領域はスタック領域と呼ばれています。スタックベースのバッファオーバーフロー攻撃では、主にスタック領域のリターンアドレスが書き換えられ、意図しないコードが実行される可能性があります。
(2)脆弱性の概要
Active! mailとは株式会社クオリティアが提供するWebメールソフトウェアであり、国内の企業や大学などで広く導入されているビジネスWebメールです。本脆弱性はActive! mailにおけるスタックベースのバッファオーバーフローの脆弱性です。本脆弱性が悪用されると、遠隔の第三者によって細工されたリクエストが送信され、任意のコードを実行されたり、サービス運用妨害(DoS)状態を引き起こされたりする可能性があります。特に任意のコード実行については、マルウェア感染や管理者権限の乗っ取り、情報漏洩などの被害が発生する可能性があります。
【図1】 一般的なスタックベースのバッファオーバーフロー攻撃のイメージ
(3)影響を受けるシステムおよびバージョン
- Active! mail 6 BuildInfo: 6.60.05008561およびそれ以前のバージョン。
(4)対策
すでに本脆弱性の悪用を試みる攻撃が報告されており、本脆弱性のCVSSv3.0スコアが9.8と高く、脆弱性を悪用された場合に深刻な被害を受ける可能性があります。そのため、影響を受けるシステムおよびバージョンを利用している場合には速やかな対応が必要です。4月16日に、株式会社クオリティアから脆弱性に対応する修正バージョンが公開されておりますので、案内に沿ってアップグレードを実施してください。
(5)軽減策
JPCERT/CCの記事によると、WAF(Webアプリケーションファイアウォール)を運用している場合に以下の検査や防御を有効にすることで、本脆弱性による影響を軽減できる可能性があります。
①HTTPリクエストボディの検査を有効にする。
②multipart/form-dataヘッダーのサイズが一定以上ならブロックする。
すでに攻撃を受けていた可能性を確認する方法については、公式より判明次第随時更新されるようです。
本記事では、株式会社クオリティアが提供するActive! mailにおける最新の脆弱性(CVE-2025-42599)について詳細と対策を紹介いたしました。すでに当該脆弱性の悪用が確認されているため、当該製品をご利用の場合、株式会社クオリティアより案内のある修正版の適用が推奨されています。
・JPCERT/CC
Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性に関する注意喚起 2025年4月18日閲覧
https://www.jpcert.or.jp/at/2025/at250010.html
・株式会社クオリティア
Active! mail 6の脆弱性に関する重要なお知らせ 2025年4月18日閲覧
https://www.qualitia.com/jp/news/2025/04/18_1030.html
急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp
2025年3月27日・28日の2日間にわたり、株式会社セキュアソフトとグループ会社であるサービス&セキュリティ株式会社の合同で、新卒内定者の研修会および入社式を開催しました。
研修では、弊社のビジネスモデルである「総合セキュリティサービス」や「IT人材サービス」についての講義を行い、業界への理解を深める機会を提供しました。また、ビジネスマナーやメンタルヘルス教育を実施し、併せて弊社の教育制度「S-Dream」についても紹介しました。
両社104名の内定者は、本研修を通じて社会人としての第一歩を踏み出す準備を整えるとともに、弊社の理念や事業についての認識を深めました。彼らが今後、さまざまなフィールドで活躍し、会社の柱になることを期待しています。
株式会社セキュアソフトとサービス&セキュリティ株式会社は、これからも若手人材の育成に力を入れ、より総合セキュリティサービスおよびIT人材サービスの提供に努めてまいります。
■【東京】研修会での様子(左)、集合写真(右)
■【大阪】研修会での様子(左)、集合写真(右)
■【名古屋】研修会での様子(左)、集合写真(右)
■【大津・京都】研修会での様子(左)、集合写真(右)
