「自社のメールサーバーにExim使ってるけど、脆弱性大丈夫なの?」
「CVSS9.8ってどのくらいヤバいでしゅか?攻撃されたらどうなるんでしゅか?」
ボス、Eximって広く使われているメールサーバーでしゅよね。日本国内でも多数が危険にさらされているって本当でしゅか?
ああ、セキュリティ研究者がShodanで調べたところ、日本国内でも多くのEximサーバーがインターネットに公開されている状態だという。メールサーバーはインターネットの入り口に位置するため、侵害されると深刻な被害につながる。
2026年4月、メールサーバーソフトウェアEximにCVSS9.8のヒープオーバーフロー脆弱性CVE-2026-40685などを含む4件の脆弱性が修正されました。
国内のセキュリティ専門家がShodan調査に基づき、日本国内の多数のEximサーバーがインターネットに公開状態であることを指摘しており、早急なアップデートが求められています。
- CVE-2026-40685(CVSS9.8)はJSON lookup有効時に悪意あるヘッダーでヒープ書き込みが発生、コード実行の恐れ
- CVE-2026-48840(情報漏えい)はPROXY設定が有効な環境で影響を受ける
- Shodan調査で日本国内に多数の脆弱なEximサーバーが公開状態と確認。バージョン4.99.2以上への更新が必須
この記事では、脆弱性の内容と日本企業への影響、そして今すぐ取るべき対策を解説します。
目次
CVE-2026-40685とは何か、発覚の経緯と影響を受けるサーバー
EximはLinux環境で広く使われているメール転送エージェント(MTA)です。脆弱性の内容と影響範囲を整理します。
CVSS9.8のヒープオーバーフロー脆弱性の仕組み
CVE-2026-40685はEximのJSON lookup機能に存在するヒープオーバーフロー脆弱性です。
JSON lookupが有効な設定の場合、信頼できないメールヘッダーに悪意ある不正なJSON文字列を含めることで、Eximのヒープ領域に境界外書き込みが発生します。
これにより、プロセスのクラッシュや、より高度な悪用では任意コード実行が可能になる恐れがあります。
今回修正された主な脆弱性は以下の通りです。
| CVE番号 | 種類 | 発動条件 |
|---|
| CVE-2026-40685(最重要) | ヒープオーバーフロー(CVSS9.8) | JSON lookup有効時 |
| CVE-2026-48840 | 情報漏えい | PROXY設定が有効な環境 |
2026年4月29日にExim 4.99.2が公開され、これら脆弱性が修正されました。
なお、CVE-2026-40685はJSON lookupが明示的に有効化された設定でのみ発動するため、すべての環境が直ちに危険にさらされているわけではありません。
しかし、カスタム設定でJSON lookupを利用しているケースや、デフォルト設定のまま使い続けているサーバーは早急な確認が必要です。
Shodan調査で判明した日本国内の脆弱なEximサーバーの現状
日本でも多数のサーバーが危険にさらされているんでしゅか?具体的にはどのくらいでしゅか?
セキュリティ専門家の二本松哲也氏がShodanを使って調査したところ、日本国内でインターネットに公開されているEximサーバーが多数存在することが確認された。古いバージョンのまま放置されているサーバーが標的になりやすい。
メールサーバーは通常、外部からのメール受信のためにポート25を公開しています。
これ自体は正常な設定ですが、脆弱なバージョンのEximが動作しているサーバーは、攻撃者にとっての格好の標的です。
日本国内のEximサーバーが特に気をつけるべきリスクをまとめると以下の通りです。
- 不正アクセスによるメール内容の傍受・改ざん(機密情報漏洩)
- サーバーを踏み台にした迷惑メール大量送信(ブラックリスト登録のリスク)
- 侵害されたサーバーからの社内ネットワークへの横展開
今すぐ実施すべき対策とバージョン確認の方法
Eximを運用している担当者が今すぐ実施すべき対策を解説します。
バージョン確認とアップデート手順
現在使用しているEximのバージョンは、サーバー上で exim --version コマンドを実行することで確認できます。
4.99.2未満のバージョンを使用している場合は、直ちに4.99.2以上へのアップデートが必要です。
cPanel環境の場合は、管理画面のEXIM設定からアップデートを確認してください。
アップデートに加えて実施すべき追加対策は以下の通りです。
- Eximの設定ファイルでJSON lookupが有効になっているかを確認し、不要なら無効化する
- PROXY設定(CVE-2026-48840対策)を確認し、不要なら無効化する
- Shodanなどで自社ドメインに紐づくEximサーバーが意図せず公開されていないか確認する
- メールサーバーのアクセスログを遡り、不審なメールヘッダーを含む通信がなかったかチェックする
まとめ
Eximを使っているなら今すぐバージョンを確認することだ。メールサーバーは外部に公開されているため、脆弱なまま放置すると踏み台にされるリスクが高い。4.99.2への更新と設定の見直しを急げ。
バージョン確認してすぐにアップデート、設定も見直しましゅ!
EximのCVE-2026-40685はCVSS9.8という深刻なヒープオーバーフロー脆弱性で、悪意あるメールヘッダーを受け取ることで任意コード実行につながる恐れがあります。
Shodan調査で日本国内にも多数の脆弱なEximサーバーが公開状態と確認されており、攻撃者のスキャン対象になるリスクがあります。
まずバージョン4.99.2以上へのアップデートを実施し、JSON lookupおよびPROXY設定の要否を確認してください。