悪意あるエクスポートファイル一つでシステムを掌握される
ビジネスコミュニケーションツール「Stackfield」のデスクトップアプリ(macOS・Windows両対応)に、CVSSスコア9.6という極めて深刻なパストラバーサル脆弱性(CVE-2026-28373)が発見された。2026年4月3日に公開されたこの脆弱性は、バージョン1.10.2未満のアプリを使っているユーザー全員が対象となる。
Stackfieldは欧州を中心に利用されているセキュアビジネスチャットツールで、エンドツーエンド暗号化を売りにしている。それだけに、暗号化絡みの処理に深刻な穴が開いていたというのは皮肉としか言いようがない。
脆弱性の技術的詳細
パストラバーサルとは何か
パストラバーサル(Path Traversal)とは、ファイルパスの検証が不十分な場合に ../../ などのシーケンスを使って意図されたディレクトリの外にアクセスする攻撃手法だ。今回の脆弱性はStackfieldのエクスポートファイルを処理する復号機能の中に存在する。
具体的には、エクスポートファイル内の filePath プロパティに対してサニタイズ・バリデーションが行われていない。攻撃者はここに細工されたパスを埋め込んだ悪意あるエクスポートファイルを作成することで、被害者のシステム上の任意の場所に任意の内容を書き込める。
攻撃に必要な条件
- 認証不要(PR:N): 攻撃者はアプリ内で認証を必要としない
- ユーザーインタラクション必要(UI:R): 被害者が悪意あるエクスポートファイルを開く必要あり
- 対象プラットフォーム: macOS・Windows両方
- 対象バージョン: 1.10.2未満のすべて
CVSSが9.6という数字が示すとおり、「ファイルを開くだけでシステムを乗っ取られる」可能性があるクリティカルな問題だ。公開時点でPoC(実証コード)は確認されていないが、エクスポートファイルのフォーマットを解析すれば攻撃者が再現できるレベルの情報はすでに公開されている。
実務への影響とアクション
IT管理者がまず確認すること
- 使用バージョンの確認: 組織内でStackfield Desktop App を使っているユーザーのバージョンを棚卸しする
- 即時アップデート: v1.10.2以降へのアップグレードを最優先で実施
- エクスポートファイルの扱い: 社外から受け取ったStackfieldエクスポートファイルを不用意に開かないよう周知
エンジニア向け注意点
パストラバーサルはOWASP Top 10にも長年ランクインしている古典的な脆弱性だ。今回の教訓は「暗号化・復号処理においても入力値のバリデーションは必須」という当たり前のことを再確認させてくれる。自社アプリでファイルパスを扱っている箇所は、改めて見直す機会にしてほしい。
筆者の見解
セキュリティ関連の話は正直得意じゃない。細かいことを気にしすぎる人たちが集まる分野だし、個人的にはあまり好きではない。でも技術的な興味はある。
で、今回の件で言いたいのはこういうことだ。CVSSスコア9.6はガチのやばい数字。これを「いや、PoC出てないし様子見」で放置するのは、IT管理者として失格だと思う。アップデートは今すぐやれ。
もう一点、今回の脆弱性がエクスポートファイル経由なのがポイントだ。「信頼できるアプリの機能を通じた攻撃」というのがゼロトラストの観点では特に厄介で、「外から来たファイルだから怪しい」という直感がない人を簡単にだます。エンドポイントのファイル操作をモニタリングする仕組みがない組織は本当に危険だ。
VPNで「境界の中は安全」と信じ込んでいるような旧来のセキュリティモデルでは、こういった攻撃に全く歯が立たない。ファイルを開く、ファイルを書き込む——そのレベルの挙動まで監視できるゼロトラスト構成への移行をいい加減本気で考えてほしい。「今動いているから大丈夫」は通用しない、という話は何度でも言い続ける。
出典: この記事は Critical Path Traversal in Stackfield Desktop App (CVE-2026-28373) の内容をもとに、筆者の見解を加えて独自に執筆したものです。