はじめに
2026 年 6 月 26 日、Synology は MailPlus Server パッケージに関するセキュリティアドバイザリ Synology-SA-26:11 を公開しました。修正されたのは 3 件の脆弱性で、最も深刻な CVE-2026-13136 には CVSS 3.1 基本値で最大値の 10.0 が割り当てられています。MailPlus Server は Synology NAS 上で自社メール基盤を運用するためのパッケージであり、プライバシーやコスト、コンプライアンスを理由に中小規模の組織でも利用されています。
今回のアドバイザリで特に注意したいのは、Synology が公式の緩和策(Mitigation)を「None」と明記している点です。回避設定による一時的な緩和は提供されておらず、恒久対処はパッケージのアップデートに一本化されています。アップデートを適用するまでの間、運用者は自力で攻撃面を減らす判断を迫られます。
- Synology-SA-26:11 で修正された 3 つの脆弱性の概要と深刻度
- 自社の MailPlus Server が影響を受けるかどうかの確認方法
- 公式の緩和策がない中でとれる暫定的なリスク低減策
- MailPlus Server パッケージのアップデート手順
結論を先に述べます。影響を受けるのは DSM 7.3 / 7.2.2 / 7.2.1 上で動作する MailPlus Server で、唯一の恒久対処は修正版パッケージ(DSM 7.3 は 4.0.1-31663 以降、DSM 7.2.2 / 7.2.1 は 4.0.1-21663 以降)へのアップデートです。公式の緩和策は提供されていないため、すぐにアップデートできない場合は、インターネットへの公開停止やアクセス元の限定といった攻撃面を減らす対策の併用が推奨されます。
Synology-SA-26:11 で修正された 3 つの脆弱性
Synology-SA-26:11 では、ZDI(Zero Day Initiative)などを通じて報告された 3 件の脆弱性が修正されました。いずれも CVE の詳細は公開時点で「RESERVED」状態にあり、技術的な内訳は非公開です。ここでは公表されている深刻度と CVSS ベクトルから、それぞれの性質を整理します。
| CVE | 深刻度 | CVSS 3.1 | 攻撃元 | 主な影響 |
|---|---|---|---|---|
| CVE-2026-13136 | Critical | 10.0 | ネットワーク | 任意ファイルの読み書き・DoS |
| CVE-2025-15660 | Critical | 9.6 | 隣接 | 任意ファイルの読み書き・DoS |
| CVE-2026-13135 | Moderate | 5.3 | ネットワーク | 内部サービスへのアクセス |
参考: Synology Product Security Advisory(Synology-SA-26:11)
“CVE-2026-13136 allows remote attackers to read or write arbitrary files and conduct denial-of-service attacks.”
(CVE-2026-13136 は、リモートの攻撃者が任意のファイルの読み書きおよびサービス妨害(DoS)を行うことを許す)
https://www.synology.com/en-us/security/advisory/Synology_SA_26_11
CVE-2026-13136: 認可不備による任意ファイルの読み書き(CVSS 10.0)
CVSS 3.1 基本値は 10.0、ベクトルは AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H です。CWE-863(Incorrect Authorization、認可処理の不備)に分類されています。ベクトルを読み解くと、ネットワーク経由(AV:N)で、攻撃条件の複雑さが低く(AC:L)、認証も利用者操作も不要(PR:N / UI:N)で悪用が可能とされています。さらにスコープ変更(S:C)があり、機密性・完全性・可用性のいずれにも高い影響(C:H / I:H / A:H)が及ぶ評価です。認証なしでリモートから任意ファイルの読み書きと DoS に至りうる点が、最大値 10.0 の根拠と考えられます。
CVE-2025-15660: 暗号学的に弱い PRNG(CVSS 9.6)
CVSS 3.1 基本値は 9.6、ベクトルは AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H です。CWE-338(Use of Cryptographically Weak Pseudo-Random Number Generator、暗号学的に弱い疑似乱数生成器の使用)に分類されています。CVE-2026-13136 との主な違いは攻撃元区分で、こちらは隣接(AV:A)です。アドバイザリでも「adjacent attackers」と記載されており、同一ローカルネットワークや論理的に隣接する位置からの悪用を想定した評価になっています。任意ファイルの読み書きと DoS の影響は CVE-2026-13136 と同等です。
CVE-2026-13135: 内部サービスへのアクセス(CVSS 5.3)
CVSS 3.1 基本値は 5.3、ベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N です。CWE-923(Improper Restriction of Communication Channel to Intended Endpoints、通信チャネルの不適切な制限)に分類されています。リモートから(AV:N)認証なしで悪用可能ですが、影響は機密性への低い影響(C:L)にとどまり、完全性・可用性への影響はありません(I:N / A:N)。本来到達できないはずの内部サービスへアクセスされる余地がある、というのが評価の主旨です。深刻度は Moderate に分類されています。
自社環境が影響を受けるかの確認方法
影響を受けるかどうかは、「DSM のバージョン」と「MailPlus Server パッケージのバージョン」の 2 つで判定できます。アドバイザリの修正版は DSM のメジャーバージョンごとにビルド番号が異なるため、両方をあわせて確認することが重要です。あわせて、攻撃面を把握するためにインターネットへの公開状況も確認します。
DSM バージョンと MailPlus Server パッケージバージョンの確認手順
まず DSM のバージョンを確認します。DSM に管理者でログインし、コントロールパネルの「情報センター」、または「パッケージセンター」上部の DSM 情報から、稼働中の DSM が 7.3 / 7.2.2 / 7.2.1 のいずれかを確認します。
次に MailPlus Server パッケージのバージョンを確認します。
- DSM に管理者アカウントでログインする(パッケージセンターは管理者のみアクセス可能)。
- メインメニューから「パッケージセンター」を開く。
- 左側の「インストール済み」を選択する。
- 一覧から「MailPlus Server」をクリックし、表示される「インストール済みバージョン」を確認する。
ここで注意したいのが、今回の脆弱性の対象は「MailPlus Server」パッケージであり、Webmail クライアントの「MailPlus」とは別物である点です。両者は名称が似ており混同しやすいため、確認・アップデートの対象がメールサーバー本体の「MailPlus Server」であることを必ず確認してください。
参考: How do I set up Synology MailPlus? – Synology Knowledge Center
“Go to Package Center to install Synology MailPlus Server.”
(Synology MailPlus Server をインストールするにはパッケージセンターへ移動する)
https://kb.synology.com/en-global/DSM/tutorial/How_to_set_up_MailPlus_Server_on_your_Synology_NAS
影響バージョンと修正版の対照表
確認した DSM とパッケージのバージョンを、以下の対照表と突き合わせます。表のビルド番号未満であれば、影響を受ける可能性があります。
| 稼働中の DSM | 修正版 MailPlus Server | 判定の目安 |
|---|---|---|
| DSM 7.3 | 4.0.1-31663 以降 | これ未満は要アップデート |
| DSM 7.2.2 | 4.0.1-21663 以降 | これ未満は要アップデート |
| DSM 7.2.1 | 4.0.1-21663 以降 | これ未満は要アップデート |
注意点として、同じ 4.0.1 でも DSM 7.3 系は末尾が -31663、DSM 7.2 系は -21663 とビルド番号が異なります。バージョン文字列の先頭だけで判断せず、末尾のビルド番号まで照合してください。なお、アドバイザリに記載のない DSM 6.x など旧バージョンを利用している場合は、サポート状況とあわせて公式の最新情報を確認することをおすすめします。
インターネットへの公開状況の確認(攻撃面の把握)
CVE-2026-13136 はネットワーク経由・認証不要で悪用されうる評価のため、MailPlus Server がインターネットに公開されているかどうかでリスクの優先度が変わります。すぐにアップデートできない場合の暫定対策(次セクション)の要否を判断するうえでも、公開状況の把握は有用です。
確認の観点は次のとおりです。
- ルーターやファイアウォールで、NAS のメール関連ポートや DSM/MailPlus のポータルが外部へポートフォワードされていないか。
- QuickConnect や DDNS、リバースプロキシ経由で MailPlus Server が外部から到達可能になっていないか。
- DSM の「セキュリティアドバイザー」でセキュリティスキャンを実行し、公開状態や設定上の警告が出ていないか。
自社のグローバル IP に対する外部からのポート到達性は、信頼できるネットワークから確認する方法もあります。公開が確認できた場合は、修正版適用までの優先度を上げて対応することをおすすめします。Bitsight の観測では、本アドバイザリ公開時点で 2,100 件以上の MailPlus Server がインターネットに露出していたと報告されており、外部公開環境は特に早期の対応が望まれます。
公式の緩和策がない中での暫定的なリスク低減策
前述のとおり、Synology はアドバイザリで Mitigation を「None」と明記しており、設定変更による公式の回避策は提供されていません。したがって、唯一の恒久対処は修正版パッケージへのアップデートです。以下に挙げる対策は脆弱性そのものを取り除くものではなく、アップデートを適用するまでの間、攻撃を受ける経路(攻撃面)を減らすための一般的な手段である点に注意してください。特にインターネットに公開している環境では、アップデートを最優先で計画したうえで、補助的に併用することをおすすめします。
外部公開の停止・アクセス経路の見直し
最も効果が見込めるのは、攻撃元区分がネットワーク(AV:N)である CVE-2026-13136 / CVE-2026-13135 に対して、外部からの到達経路を断つことです。
- ルーターやファイアウォールで、MailPlus Server 関連ポートのポートフォワードを一時停止、または送信元を限定する。既定ポートは SMTP が
25、SMTP-SSL が465、SMTP-STARTTLS が587、IMAP が143、IMAP SSL/TLS が993、POP3 が110、POP3 SSL/TLS が995です。実際に有効化しているポートは MailPlus Server の「サービス」→「プロトコル」で確認できます。 - QuickConnect や DDNS、リバースプロキシ経由で MailPlus のポータルや管理画面が外部公開されていないか見直し、不要な公開を停止する。
- メールの受信を継続する必要がある場合でも、管理用の DSM/MailPlus ポータルの外部公開は停止し、社内ネットワークや VPN 経由に限定することでリスクを下げられます。
メール受信に必要な SMTP(25 等)は完全に閉じられないケースが多いため、次の「アクセス元の限定」と組み合わせて運用することをおすすめします。
アクセス元の限定(許可 IP・ファイアウォール)
公開を完全に止められない場合は、到達できる送信元を絞り込みます。
- DSM の「コントロールパネル」→「セキュリティ」→「ファイアウォール」で、MailPlus Server 関連ポートへのアクセスを必要な送信元 IP やリージョンに限定するルールを設定する。
- 管理画面や IMAP/POP3 など、外部の不特定多数に開放する必要のないサービスは、VPN 経由のアクセスへ切り替える。
- DSM の「アカウント保護」や自動ブロック機能を有効にし、不審なアクセス試行を遮断する。
- 平文認証を無効化し、暗号化された接続のみを許可する。公式ドキュメントでも、平文認証の許可はシステムの脆弱性を高めうると説明されています。
参考: Service | Synology MailPlus Server – Synology Knowledge Center
“Allowing plaintext authentication can increase system vulnerability”
(平文認証を許可するとシステムの脆弱性を高める可能性がある)
https://kb.synology.com/en-sg/DSM/help/MailPlus-Server/mailplus_server_service?version=7
ログ監視と不審アクセスの確認
CVE-2025-15660 は隣接(AV:A)からの攻撃を想定した評価であり、外部公開の有無にかかわらず、内部からの不審な挙動も監視対象になります。
- DSM の「ログセンター」や MailPlus Server のログで、想定外の送信元からの接続や認証失敗の急増がないか確認する。
- 「セキュリティアドバイザー」でセキュリティスキャンを実行し、設定上の警告を点検する。
- 不審なアクセスや改ざんの兆候が見られた場合は、アップデート適用と並行して、ログの保全とインシデント対応を検討する。
これらはいずれも暫定的な措置であり、修正版の適用まで先延ばしにする理由にはなりません。公開状況の確認(前セクション)で外部到達が判明した環境ほど、早期のアップデートが望まれます。
恒久対処: MailPlus Server パッケージのアップデート手順
今回のアドバイザリにおける確実な対処は、MailPlus Server パッケージを修正版へアップデートすることです。DSM 本体のアップデートとパッケージのアップデートは別管理のため、DSM を最新化していても MailPlus Server が古いままになっている場合がある点に注意してください。
パッケージセンターからの更新手順
- メールサービスへの影響を抑えるため、可能であればメンテナンスウィンドウを設定する。
- アップデート前に、MailPlus のデータと設定のバックアップを取得する。
- DSM に管理者でログインし、「パッケージセンター」を開く。
- 「MailPlus Server」に更新が表示されている場合は、その「更新」を実行する(更新が自動表示されない場合は、パッケージセンターの設定で更新情報を再取得するか、ダウンロードセンターから対象バージョンの手動インストールを検討する)。
- 更新の説明を確認し、適用する。
アップデート前のバックアップは、万一の切り戻しに備える意味でも有効です。バックアップ全体の設計については、関連記事『不変バックアップによるランサムウェア対策の手順』もあわせて参照してください。
アップデート後の動作確認
アップデート完了後、対処が反映されたことを確認します。
- パッケージセンターの「インストール済み」で、MailPlus Server のバージョンが対照表(DSM 7.3 は
4.0.1-31663以降、DSM 7.2.2 / 7.2.1 は4.0.1-21663以降)を満たしているか再確認する。 - MailPlus Server のサービスが稼働状態であることを確認する。
- 実際にメールの送受信テストを行い、クライアント(Outlook・Thunderbird 等)からの接続が正常に行えるか確認する。
- 暫定的に変更したファイアウォールやポート公開の設定を、運用要件に応じて見直す。
まとめ
Synology-SA-26:11 で公表された MailPlus Server の脆弱性は、最大で CVSS 10.0 と深刻でありながら、公式の緩和策が提供されていません。確実な対処は修正版パッケージへのアップデートに限られます。アップデートまでの間は、外部公開の見直しやアクセス元の限定によって攻撃面を減らすことが、現実的な選択肢になります。
- Synology-SA-26:11 で MailPlus Server の 3 件の脆弱性を修正
- CVE-2026-13136 は認証不要・リモートで CVSS 10.0 の深刻度
- 影響対象は DSM 7.3 / 7.2.2 / 7.2.1 上の MailPlus Server
- 修正版はビルド番号まで含めたバージョン照合が必要
- 公式の緩和策はなく、アップデートが唯一の恒久対処
- アップデートまでは外部公開の停止と送信元 IP の限定が現実的
- アップデート後はバージョンとメール送受信の動作確認を推奨
以上、最後までお読みいただきありがとうございました。
