ACmailerというメルマガCGIに脆弱性が発見されたそうです、最新版にアップデートしましょう

ACmailerというメルマガCGIに脆弱性が発見されたそうです。なんとサイバー県警から当社にも電話連絡があり、「ACmailerに脆弱性が発見されたのですみやかに最新版にアップデートしてください」という内容でした。私は電話には出ていないのですが２回めの電話のさいには留守電に録音されていました。よほど緊急なんでしょうね。
このACmailer、実は当社も利用しているメルマガCGIです。幸い、当社の利用バージョンは最新バージョンの4.0.6でした。またダブルオプトイン機能を有効にしているので容易に不正侵入されにくい状況でしたが、こんなことがあると驚きますね。

ACmailerを安全に利用するために

ACmailerの脆弱性問題について

ヤフーニュースにも掲載されていました。

Yahoo!ニュース

Yahoo!ニュースは、新聞・通信社が配信するニュースのほか、映像、雑誌や個人の書き手が執筆する記事など多種多様なニュースを掲載しています。

news.yahoo.co.jp

上記のニュース内容の一部を引用すると…

同県警によると、「acmailer」の脆弱性は下記の通り。
・その1（CVE-2021-20617） 脆弱性による影響：ログインID及びパスワードの上書き 対象バージョン：acmailer ver 4.0.1以前、acmailer DB版 ver1.1.3以前
・その2（CVE-2021-20618） 脆弱性による影響：acmailer全権限の取得 メールリスト、ログインID、パスワードなどの設定情報の漏えい CGIファイルの破壊 対象バージョン：acmailer ver 4.0.2以前、acmailer DB版 ver1.1.4以前
・その3 脆弱性による影響：第三者から任意のコマンドを実行される 対象バージョン：acmailer ver 4.0.3以前、acmailer DB版 ver1.1.5以前

同県警では、「acmailer」を利用している事業者は最新バージョンにアップデートするなどの措置を取るよう呼びかけている。

ということなのでけっこう実害がでているものと推測できます。

さくらインターネットにも警告情報が掲載されていました。

acmailerの脆弱性にご注意ください | さくらのサポート情報

2023年夏ごろから、acmailerの脆弱性を悪用した不正アクセスが急増しています。さくらのレンタルサーバではクイックインストールによるacmailerのご提供はなく、動作保証も行っておりませんが、多数のお客様がご利用である事を確認しております。お心当たりがある場合は以下をご確

help.sakura.ad.jp

ACmailerのCGI版は最新バージョンが4.0.6です。
上記の不正侵入問題が起きていたのはver 4.0.3以前のようです。ACmailerを利用している場合は、現在のバージョンをチェックして最新版でない場合はすみやかに最新バージョンにアップデートしましょう。

ACmailerのアップデート方法

まず、最新版のインストーラー「install.cgi」というファイルをダウンロードします。

acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI

無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機能。

www.acmailer.jp

現在の最新バージョンは、acmailer4.0.6 正式版(2023/04/03)となっていました。

perlパスによってダウンロードするファイルが違うので注意してください。（利用するサーバーによってダウンロードするファイルが違います）

#!/usr/bin/perl（標準）→エックスサーバー、さくらインターネット、コアサーバーV2
#!/usr/local/bin/perl
なお、ロリポップはどちらでもOKでした。

この「install.cgi」をメルマガのシステムが稼働しているパスにアップロードして実行すると最新版がサーバーに自動的に設定されるというしくみです。そのさいに「install.cgi」の属性は「755」に設定をしないとうまく稼働しませんので要注意です。

必ずサーバーのバックアップをとってから実施してください

なお、「install.cgi」を実行すると、これまで設定してあったファイルがすべて上書きされてしまうことで消失する可能性があります。ですから、まずはサーバーのフォルダごとバックアップをとってから実施してください。

特に重要な設定ファイル（メールアドレスやこれまで送信したメールなどのデータ）は「data」フォルダにあります。ここは必ずバックアップをとって目視で確認してください。

▼FTPソフトでサーバーを確認

無事に最新版に更新できたら、インストール用ファイルの「install.cgi」は自動的に削除されるようです。しかし、インストール設定ファイルである「init_ctl.cgi」というファイルがサーバー上に残りますので、必ず処理してください。「init_ctl.cgi」は削除するか、別名に変更して属性を「000」にして念のために残しておくという方法でもよいです。

なおこれらの処理について自信がない場合は、専門の知識を持っている方と相談してください。

石川県警に当社がACmailerを使っていることを発見された理由

ところで、なぜ当社がACmailerを使っていることを石川県警は発見することができたのでしょうか。直接的に県警サイバー部門の方からは教えてもらっていませんが、おそらく「ACmailer+石川県」などの検索キーワードで検索して、該当する石川県内のサイトを調査したのではないかと思われます。

当社のページは、こんな感じで表示されていましたので、目に付きやすかったのでしょうね。

遠田幹雄（とおだみきお）

この記事を書いた遠田幹雄は中小企業診断士です

遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。

小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。

民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。

保有資格：中小企業診断士、情報処理技術者など

会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。

お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。

【反応していただけると喜びます（笑）】

記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。

遠田幹雄が利用しているSNSは以下のとおりです。

facebook　https://www.facebook.com/tohdamikio
ツイッター　https://twitter.com/tohdamikio
LINE　https://lin.ee/igN7saM
チャットワーク　https://www.chatwork.com/tohda

また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください（笑）