人気のメールソリューションで重大な欠陥を検出
サイバーセキュリティの専門家と政府機関は、Microsoft Exchangeのよく知られた代替製品であるSmarterToolsのSmarterMailで見つかった脆弱性について、深刻な懸念を表明しています。この欠陥はCVE-2025-52691として特定され、影響を受けるシステム上でリモートコード実行を許す可能性があるため重大なリスクとなり、共通脆弱性評価システム(CVSS)で不穏な満点の10を獲得しています。
発見と緊急アップデート
この脆弱性は、2025年12月29日にSmarterToolsとシンガポール・サイバーセキュリティ庁による共同調査を通じて明らかになりました。この発見を受け、当局はすべてのユーザーに対し、遅滞なくSmarterMailをBuild 9413へアップグレードするよう強く求めています。このパッチは極めて重要であり、適用しない場合、権限のないユーザーが任意のファイルをアップロードして最終的にリモートコード実行へ至る形で、サーバーが悪用にさらされる可能性があります。
悪用の試みの兆候
2026年1月6日までに、SmarterToolsのコミュニティフォーラムでの議論から、この脆弱性を悪用しようとする動きが活発化していることが示されました。ユーザーは、成功した侵害はまだ報告されていないものの、悪意の明確な兆候があると指摘しました。あるユーザーは共有されたコードサンプルに言及し、「それらは間違いなく悪意のあるものだ」と述べ、PowerShellを介してさらなる侵害を引き起こし得るスクリプトを攻撃者が実行できる可能性を強調しました。
タイムラインが疑問を呼ぶ
脆弱性の修正は2025年10月にBuild 9413として提供されましたが、その開示をめぐるタイムラインは依然として議論の的となっています。公表の数か月前に、脆弱性がひそかに対処されていたように見受けられます。この沈黙はサイバーセキュリティ専門家の間で疑念を招き、SmarterToolsに対していくつかの未解決の疑問を残しています。
watchTowrのCEO兼創業者であるベンジャミン・ハリスは、この「サイレントパッチ」手法の問題点を強調しました。彼は、開示の遅れによってシステムが約3か月間脆弱なままとなり、その間にサイバー犯罪者がパッチを解析して、気づいていない標的を悪用できた可能性があると説明しました。
コミュニケーションの破綻
SmarterMailシステムを管理する多くの管理者は事後になるまで脆弱性を把握しておらず、SmarterToolsの情報伝達戦略に対する懸念が高まっています。ハリスは、ユーザーが自力でセキュリティ更新を見つけることに依存するのは、効果的なサイバーセキュリティ防御の基盤である信頼を著しく損なうと指摘しました。
「すべてのSmarterMail管理者に対し、Build 9413以降を実行していることを直ちに確認するよう強く求めます」とハリスは助言しました。さらに、疑わしいファイルのアップロードや異常なシステム挙動がないかログを徹底的に調査することを推奨し、油断—いわゆる「隠蔽によるセキュリティ」—はもはや現代の脅威に対する有効な防御ではないと述べました。
追加情報を探す
特定の脆弱性や、それらがどのように悪用され得るかについてさらに学びたい方のために、watchTowrのブログで追加リソースが提供されています。サイバーセキュリティコミュニティ内で続く対話は、深刻な脆弱性に対処するうえで、積極的な情報共有と迅速な更新が重要であることを浮き彫りにしています。
