はじめに
非営利のセキュリティ組織であるShadowserverが、オンライン上に公開されている6,000台以上のSmarterMailサーバーが、認証バイパスの重大な脆弱性を悪用する攻撃に対して脆弱である可能性が高いと報告しました。これらのサーバーは、現在進行中の自動化された乗っ取り攻撃に晒されています。
認証バイパス脆弱性 (CVE-2026-23760) の詳細
この脆弱性は、サイバーセキュリティ企業watchTowrによって1月8日にSmarterTools社に報告されました。SmarterTools社は1月15日に修正プログラムをリリースしましたが、当初は識別子が割り当てられていませんでした。その後、この脆弱性にはCVE-2026-23760が割り当てられ、認証されていない攻撃者が管理者アカウントを乗っ取り、ホスト上で遠隔コード実行 (RCE) を可能にする極めて重大な脆弱性として評価されています。
NISTの国家脆弱性データベースによると、「SmarterTools SmarterMailのビルド9511より前のバージョンには、パスワードリセットAPIに認証バイパスの脆弱性が含まれている」とのことです。特に「force-reset-password」エンドポイントが匿名リクエストを許可し、システム管理者アカウントのパスワードリセット時に既存のパスワードやリセットトークンを検証しないことが問題です。これにより、認証されていない攻撃者は、ターゲットの管理者ユーザー名と新しいパスワードを提供するだけでアカウントをリセットし、SmarterMailインスタンスの完全な管理権限を侵害できる状態になります。
なお、watchTowrはこの認証バイパスの脆弱性を発見する2週間前に、SmarterMailの別の重大な事前認証脆弱性(CVE-2025-52691)も発見しており、こちらもパッチ未適用のサーバーで遠隔コード実行を許す可能性があります。
広がる影響と緊急の警告
Shadowserverは月曜日、北米で4,200台以上、アジアで1,000台近くを含む6,000台以上のSmarterMailサーバーがCVE-2026-23760の攻撃に対して「脆弱である可能性が高い」と追跡していることを明らかにしました。また、マクニカの脅威リサーチャーである瀬島裕氏はBleepingComputerに対し、自身のスキャンでは8,550台以上のSmarterMailインスタンスが依然としてCVE-2026-23760の攻撃に対して脆弱であると報告しています。
管理者アカウントのユーザー名を知っているだけで悪用可能な概念実証 (PoC) エクスプロイトを共有したwatchTowrは、1月21日にはこの脆弱性が実際に悪用されているとの情報を受け取ったと述べています。翌日にはサイバーセキュリティ企業Huntressもこの報告を確認し、大規模かつ自動化された攻撃が示唆されていると指摘しました。
これを受け、CISA(サイバーセキュリティ・社会基盤安全保障庁)は月曜日、CVE-2026-23760を積極的に悪用されている脆弱性リストに追加し、米国政府機関に対して2月16日までにサーバーを保護するよう命じました。
CISAは「これらの種類の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃経路であり、連邦政府機関に重大なリスクをもたらす」と警告し、次のように指示しています。
- ベンダーの指示に従って緩和策を適用する。
- クラウドサービスについては、適用されるBOD 22-01ガイダンスに従う。
- 緩和策が利用できない場合は、製品の使用を中止する。