概要:SmarterMailの深刻な脆弱性が悪用中
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、SmarterMailの重大なリモートコード実行(RCE)脆弱性「CVE-2026-24423」が、ランサムウェア攻撃者によって積極的に悪用されていると警告を発しました。この脆弱性は、認証なしにリモートでコードを実行される可能性があるため、非常に危険視されています。
SmarterMailは、SmarterToolsが提供するWindowsベースのセルフホスト型メールサーバーおよびコラボレーションプラットフォームです。SMTP/IMAP/POPメールサービスに加え、ウェブメール、カレンダー、連絡先、グループウェア機能を提供し、MSP(マネージドサービスプロバイダ)、中小企業、ホスティング会社などで約1,500万人のユーザーに利用されています。
脆弱性の詳細とCISAの勧告
CVE-2026-24423は、SmarterTools SmarterMailのビルド9511より前のバージョンに影響を与えます。具体的には、ConnectToHub APIを介してリモートコード実行が可能になるとされています。この脆弱性は、watchTowr、CODE WHITE、VulnCheckのセキュリティ研究者によって発見され、SmarterToolsに責任を持って開示されました。
SmarterToolsは1月15日にSmarterMail Build 9511でこの脆弱性を修正しました。しかし、CISAは既にこの脆弱性を「既知の悪用されている脆弱性(KEV)カタログ」に追加し、ランサムウェアキャンペーンで積極的に悪用されていることを明記しています。
CISAは連邦政府機関に対し、2026年2月26日までにセキュリティアップデートとベンダー推奨の緩和策を適用するか、SmarterMail製品の使用を停止するよう指示しています。
関連する新たな脆弱性と推奨される対策
CVE-2026-24423のパッチが適用された時期とほぼ同時期に、watchTowrの研究者は別の認証バイパス脆弱性「WT-2026-0001」(識別番号なし)を発見しました。この脆弱性は、認証なしに管理者パスワードをリセットすることを許可するもので、パッチリリース後すぐに攻撃者によって悪用された形跡があると報告されています。
SmarterMailはその後も複数の「重要」と評価されるセキュリティ脆弱性を修正しているため、システム管理者は最新のビルド(現在9526、1月30日リリース)にアップデートすることが強く推奨されています。