【IIJサイバー攻撃 Active!mail】
記事には掲載できなかった発覚の経緯
https://nikkei.com/article/DGXZQOCD16BSF0W5A410C2000000/
IIJ「セキュアMXサービス」のサーバーで「異変」を検知するアラート(2025年4月10日)
↓
サーバー内で不正プログラムの形跡が確認される
↓
ログなどをもとに横展開された上流をたどっていくと…
↓
Active! mailのWebサーバーにたどり着く。初期侵入が2024年8月3日であることが特定される
↓
検証の結果、ある長大なリクエストを受信するとスタック領域があふれる現象が確認される
↓
開発元のクオリティア側も知り得なかった、いわゆる「ゼロデイ脆弱性」と判明
↓
クオリティアが「緊急告知」不具合の修正版をリリース(2025年4月16日)
↓
(以下は全て2025年4月18日)
「Active! mail 6の脆弱性に関する重要なお知らせ」を公表(クオリティア)
「Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性」公表(JVN#22348866)
「Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性に関する注意喚起」公表(JPCERT/CC)
IIJのインシデント覚知と調査がなければ、今回のゼロデイは今も見つかっていない可能性があります。
加えて、クオリティアの対応の速さは特筆すべきものがあります。
一方で、初期侵入から発覚まで8カ月近くが経過しており、その間、今回のゼロデイが悪用された攻撃がIIJ以外にも行われていることは十分考えられます。
今も多くの組織がActive! mailを採用していると思われ、影響の広がりが予想できません。
まずは複数の関係者の証言をもとに、いち早く記事を配信したのはそんな背景があります。
今後も取材を続けていきます。