対応バージョン： m-FILTER Ver.4 / Ver.5
対応OS： すべてのOS

JVN#55675303『デジタルアーツ製 m-FILTER における認証不備の脆弱性』が
2023/01/06にJPCERT/CC、情報処理推進機構（IPA）から公開されています。

■対象となるお客様
・「m-FILTER」Ver.4.00R01～Ver.4.87R03、Ver.5.00R01～Ver.5.61R02 をご利用のお客様
・「m-FILTER」Ver.3 以前の旧バージョンをご利用のお客様


■必要な対応（恒久対策）
「m-FILTER」を最新バージョンにアップデートしてください。
本脆弱性は、次のバージョンで修正されています。

・「m-FILTER」Ver.5.70R01（Ver.5系）
・「m-FILTER」Ver.4.87R04（Ver.4系）

バージョンアップ(アップデート)手順
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3893

バージョンアップ(アップデート)時の注意点
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=6574


■本脆弱性による影響
以下の条件に合致したとき、独自認証設定に設定されているユーザー情報での認証をせずに
認証が成功し、第三者によって意図しないメールが送信されてしまうことがあります。

・[オプション > m-FILTER認証]にて以下の設定がされている場合
　
　m-FILTER認証方式：独自認証
　メール送信サーバーでのSMTP認証：ON　(メール送信サーバーではSMTP認証を行わない)
かつ
・クライアントにて認証方式にCRAM-MD5を指定した場合

※ただし、「m-FILTER」はDMZへの配置が非推奨であり、お客様イントラネット内に
　配置いただくことが通常となるため、他製品が踏み台にされてイントラネット内に
　侵入された状態とならない限り、問題が発生することはありません。

　▽参考FAQ
　「m-FILTER」DMZに配置してもよいですか
　https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4068


■「m-FILTER」をすぐにアップデートすることができない場合の暫定対応方法
ワークアラウンドはありません。
「m-FILTER」を最新バージョンにアップデートする必要があります。


■脆弱性への対応が完了したことを確認する方法
「m-FILTER」のバージョンを確認してください。
Ver.5.70R01以降のバージョン または Ver.4.87R04以降のバージョンが表記されていれば、
対応が完了したことを確認可能です。

　▽参考FAQ
　「m-FILTER」現在利用している『m-FILTERのバージョン』はどのように確認できますか
　https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=729


■補足
・「m-FILTER@Cloud」は本脆弱性への対応を実施済みですので、影響はありません。
　お客様が何らかの対応を行う必要もありません。
　https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=6723

・「m-FILTER MailAdviser」は本脆弱性の対象外です。
　また、「i-FILTER」などその他の弊社製品についても本脆弱性の対象外です。