🛡 概要
今年初め、Zimbra Collaboration Suite(ZCS)の脆弱性がゼロデイ攻撃に利用されたことが確認されました。この脆弱性はCVE-2025-27915として知られ、主にICSファイルを介して悪用されました。ICSファイルはカレンダー情報を格納し、さまざまなカレンダーアプリケーション間で交換されるため、企業や個人のスケジュール管理に広く使用されています。Zimbraはこの脆弱性を1月27日に修正しましたが、攻撃者はパッチが公開される前からこの脆弱性を利用していました。
🔍 技術詳細
CVE-2025-27915は、ZCSのバージョン9.0、10.0、10.1に存在するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性はICSファイル内のHTMLコンテンツの不十分なサニタイズから生じ、攻撃者は被害者のセッション内で任意のJavaScriptを実行することが可能になります。具体的には、攻撃者はフィルタを設定してメールを自分のアドレスに転送させることができるのです。StrikeReadyの研究者たちは、10KB以上のICSファイルにJavaScriptコードが含まれていることを監視する中で、この攻撃を発見しました。
⚠ 影響
この攻撃の影響は広範囲に及びます。攻撃者はZimbra Webmailから資格情報やメール、連絡先、共有フォルダを盗むことができます。特に、攻撃者は非同期モードで動作する悪意のあるコードを実行し、ユーザーの活動を監視して、ログインフォームから資格情報を盗む手口が確認されています。また、ZimbraのSOAP APIを利用してフォルダを検索し、メールを取得することも可能です。これにより、機密情報が攻撃者に漏洩するリスクが高まります。
🛠 対策
Zimbraはすでに脆弱性を修正したバージョンをリリースしていますが、ユーザーは早急に最新のアップデートを適用する必要があります。また、ICSファイルを受信する際には、内容を注意深く確認し、信頼できない送信者からのファイルは開かないようにしましょう。さらに、定期的にパスワードを変更し、二要素認証を導入することで、アカウントのセキュリティを強化することが推奨されます。これらの対策を講じることで、今後の攻撃から身を守ることが可能になります。
