SEPPmail Secure E-Mail Gateway に複数の脆弱性:認証不要の RCE とトラフィック傍受

SEPPmail Gateway Flaws Expose Organizations to RCE and Email Traffic Interception

2026/05/19 gbhackers — SEPPmail Secure E-Mail Gateway に存在する複数の深刻な脆弱性により、数千の組織における暗号化電子メール通信が、リモート・コード実行 (RCE) /機密メール傍受のリスクにさらされている。これらの脆弱性は、特に DACH 地域 (ドイツ/オーストリア/スイス) で広く導入されている SEPPmail アプライアンスに影響することが判明した。

セキュリティ研究者によると、これらの問題を悪用する攻撃者は、メール・ゲートウェイの完全制御や機密通信へのアクセス、さらには企業環境内での永続的アクセス維持が可能となる。

SEPPmail Gateway の脆弱性

研究者たちが確認したのは、SEPPmail プラットフォームの複数コンポーネントにまたがる深刻な脆弱性である。 

  • CVE-2026-2743:Large File Transfer (LFT) モジュールにおける任意ファイル書き込みを介した認証不要のリモートコード実行。
  • CVE-2026-7864:認証不要のデバッグ・エンドポイントを介した機密情報漏洩。
  • CVE-2026-44127:Local File Inclusion (LFI) による任意ファイルの読み取りと、メールや認証情報への侵害の可能性。 
  • CVE-2026-44128:GINA v2 インターフェイスにおける Perl コード・インジェクションを介した認証不要の RCE。 

追加の問題として、安全でないデシリアライズ/認可チェック欠如/サーバ・サイド・テンプレート・インジェクションなども含まれる。

ファイル・アップロードを起点とする RCE チェーン

最も深刻な問題である CVE-2026-2743 は、大容量のメール添付ファイル処理に用いられる LFT 機能に影響する。この脆弱性は、ファイルアップロード・パラメータの不適切な入力検証に起因し、攻撃者によるパストラバーサルを可能にする。

 Unsanitized Path Traversal (Source: Infoguard)
 Unsanitized Path Traversal (Source: Infoguard)

InfoGuard Labs が公表した研究によると、攻撃者は “../” を使用してファイルパスを操作し、システム内の機密領域へ任意ファイルを書き込める。研究者は、この欠陥を介して “/etc/syslog.conf” を上書きし、完全な RCE への連鎖が可能であることを実証した。

例として、システムログ・サービスに対して、攻撃者が任意コマンドを実行して悪意のコンフィグを注入した場合には、ログ・ローテーション時のログ設定の再読み込みによりペイロードが実行され、リバースシェルが確立される。この攻撃は認証が不要であり、脆弱なエンドポイントが公開されている場合には、リモートからの実行が可能となる。

GINA インターフェイスによる Web シェル取得

外部受信者向けの安全なメール・アクセス用に設計された GINA v2 Web インターフェイスは、新たな攻撃ベクターを提供するものである。脆弱性 CVE-2026-44128 を悪用する攻撃者により、API エンドポイントに注入された Perl コードは、eval() 関数を通じて直接実行される。

この攻撃経路には認証チェックが存在しないため、攻撃者は細工したリクエストを送信してサーバ上でコマンドを実行できる。研究者は簡易的な PoC を開発し、リモートから対象システム上でファイルを作成し、完全なコマンド実行の能力を実証した。

さらに CVE-2026-44127 により、保存済みメール/LDAP データベース/暗号鍵を含む任意ファイルの読み取りが可能となり、大規模なデータ漏洩リスクが高まっている。

攻撃成功時には、以下の影響が発生する可能性がある。 

  • メール・ゲートウェイの完全侵害 
  • 機密メール通信の傍受/復号 
  • ユーザー認証情報/内部ディレクトリへのアクセス 
  • 企業ネットワーク内での永続的バックドアの確立 

特に、セキュリティ・チームは、これらのアプライアンスに対する可視性が限定的である場合が多く、検知/対応が著しく困難になる可能性がある。

対策および推奨事項

SEPPmail を利用する組織に対して強く推奨されるのは、以下の対策である。 

  • 修正済みバージョン 15.0.2.1/15.0.3/15.0.4 以降へのアップグレード。
  • 不要な機能 (LFT/GINA v2) の無効化。
  • 管理インターフェイス/API エンドポイントへの外部アクセス制限。
  • 異常なファイル書き込み/API アクティビティに関するログ監視。
  • 侵害有無を確認するためのフォレンジック調査実施。

さらに、管理者は “/v1/file.app” エンドポイントへのアクセスの可能性を確認することで、脆弱性の露出の有無を検証できる。404 以外のレスポンスが返される場合は、脆弱性の存在が示唆される。

研究者によると、一部の脆弱性は AI を活用した解析により発見されており、最新ツールが脆弱性発見および悪用を加速させている。この傾向は攻撃者の参入障壁を低下させているため、継続的なセキュリティ・テスト/コード監査/プロアクティブなパッチ管理の必要性を強く示している。

同時に、この調査結果が浮き彫りにするのは、広く導入されたセキュリティ・アプライアンスであっても、深刻な欠陥が長期間にわたって潜み続ける可能性である。この広範な攻撃面積が、脅威アクターにとって、魅力的な標的となっている。

訳者後書:今回の脆弱性の原因は、システムへ渡されるデータのチェックが不十分だったことに起因します。たとえば、脆弱性 CVE-2026-2743 では、アップロードされるファイル名の検証が足りなかったため、本来は書き換えてはいけないシステムの設定ファイルが変更されてしまいます。また、脆弱性 CVE-2026-44128 では、外部からの入力データをそのままプログラムの命令として実行してしまう問題が引き起こされます。このように、ユーザーが入力したデータの安全性を確認せずに処理してしまうことが、リモートからの不正なコマンド実行 (RCE) などの深刻な危険につながります。ご利用のチームは、ご注意ください。