1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Active! mail6のゼロデイ 脆弱性はサイバー攻撃による侵害は確認されず

Active! mail6のゼロデイ 脆弱性はサイバー攻撃による侵害は確認されず

セキュリティニュース

投稿日時: 更新日時:

緊急脆弱性が報告されたActive! mail 6、運用環境へのサイバー攻撃による侵害は確認されず

2025年6月2日、メールソリューションを提供するActive! world(株式会社クオリティア)は、自社が提供するWebメールシステム「Active! mail 6」に関して報告されていた脆弱性に関する調査結果を発表しました。

報告によれば、当該脆弱性に対しては既に修正バージョンへのアップデートが完了しており、その後の調査においても「不正アクセスやデータ侵害の痕跡は確認されなかった」としています。

指摘されていた脆弱性

今回の発表では具体的なCVEが記載されていませんが

2025年4月18日にActive! mail 6 BuildInfo: 6.60.05008561およびそれ以前のバージョンで脆弱性が指摘されていました。

この脆弱性 CVE-2025-42599は評価スコアはCVSS v3で9.8(緊急)。対象となるバージョンは細工されたリクエストによりリモートから任意のコードを実行できるスタックベースのバッファオーバーフローが起こる可能性があるというものでした。

この脆弱性が悪用されると、下記のような深刻な影響が発生する可能性があります

  • システム上での任意コード実行

  • サービス妨害(DoS)攻撃

  • 他システムへの横展開攻撃(ラテラルムーブメント)

さらに、実際の攻撃も確認されていることから、ゼロデイ攻撃に近い重大なリスクとされていました。

また、Active! mailは、IIJ セキュアMXサービスでも利用されており、同サービス利用顧客のメールアドレス約31万件と586契約の情報漏洩の可能性が発表されていました。

参照

https://www.qualitia.com/jp/news/2025/06/02_1345.html

 

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) IIJへの不正アクセスによるサイバー攻撃、Active! mailのゼロデイ脆弱性を悪用かIIJへの不正アクセスによるサイバー攻撃、Active! mailのゼロデイ脆弱性を悪用か(CVE-2025-42599) 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 Default ThumbnailBtoBの展示会で利用できるイベントコンパニオン事務所のご紹介 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 Default Thumbnail【2023年版】BtoBの展示会で利用できる補助金・助成金をご紹介!