WinRAR脆弱性CVE-2026-14191、修正版7.23が公開

脆弱性・脅威情報

圧縮・解凍ソフト「WinRAR」に、深刻な脆弱性CVE-2026-14191(CVSSv3.1 基本値7.8/重要度「高」)が確認されました。RAR5形式の「復旧ボリュームファイル(.rev)」を処理する際にメモリ破壊が生じるもので、悪意ある.revファイルを被害者に処理させられると、最悪の場合コードを実行される恐れがあります。開発元は現地時間2026年6月30日、修正版となるWinRAR 7.23を公開しました。攻撃には利用者の操作が必要ですが、WinRARには自動更新機能が無いため、放置すると穴が残り続けます。まずは社内の全端末で7.23へ更新することが対応の第一歩です。

この記事でわかること

  • CVE-2026-14191の概要と、攻撃が成立する条件
  • 「自動更新が無いソフト」が情シスにとってなぜ厄介なのか
  • 過去のWinRAR脆弱性が「修正後も悪用され続けた」教訓と、いま取るべき現実的な対応

何が起きたのか

今回の脆弱性は、WinRARおよび同梱のUnRARが、RAR5形式の復旧ボリューム(.rev)を解析する処理に存在します。.revファイルは、破損・不完全なアーカイブを修復するための補助ファイルです。攻撃者が複数の.revファイルを細工しておくと、復旧やテストの処理中にWinRARが確保済みのメモリ領域の外へデータを書き込み(域外書き込み)、メモリ破壊が発生します。この破壊を悪用されると、被害者のPC上で任意のコードを実行される可能性があります。

開発元によると、これは過去に修正されたCVE-2023-40477(同じ復旧ボリューム処理に起因する脆弱性)と類似した問題です。いわば、同種の弱点が形を変えて再び見つかった格好です。

影響範囲と攻撃の条件

報告されている要点を整理します。

項目 内容
CVE番号 CVE-2026-14191
影響を受けるソフト WinRAR(および同梱のUnRAR)7.23より前のバージョン
原因 RAR5の復旧ボリューム(.rev)解析での域外書き込み(メモリ破壊)
CVSSv3.1 基本値 7.8(重要度「高」)
攻撃の前提 ローカル環境で、利用者が細工されたファイルを処理する操作が必要
修正版 WinRAR 7.23(2026年6月30日公開)
類似する過去の脆弱性 CVE-2023-40477

「利用者の操作が必要」=安心、とは言い切れません。標的型メールに細工ファイルを添付する、正規に見えるアーカイブを配布するなど、利用者に開かせる手口は多数あります。実際、本稿執筆時点で本CVEの悪用は確認されていませんが、WinRARの脆弱性は歴史的に攻撃者に好まれてきました。

なぜ情シスにとって厄介なのか(現場目線)

技術的な深刻度以上に、運用面のやっかいさが際立つのがWinRARです。理由は主に2つあります。

1つ目は、自動更新(サイレントアップデート)が無いこと。ブラウザやOSのように黙って最新化されないため、利用者が自分で最新版をダウンロードして入れ直さない限り、古いまま放置されます。「配って終わり」のソフトほど、こうした更新漏れが積み上がります。

2つ目は、そもそも社内にどれだけ入っているか把握しづらいこと。WinRARは個々の利用者が必要に応じて入れがちで、資産管理台帳に載っていない“野良インストール”になりやすいソフトの典型です。台帳に無いものはパッチも当てられません。限られた人員で全端末の細部まで目が届かないもどかしさは、多くの情シス担当者が実感しているところではないでしょうか。

つまりCVE-2026-14191への対応は、「7.23を入れる」という単純な話に見えて、実際には資産の可視化(棚卸し)→ 配布・更新の仕組みづくりという運用課題に直結します。

過去の教訓:修正後も悪用は続く

WinRARを軽視できない最大の理由は、過去の脆弱性がパッチ公開後も長期にわたって悪用され続けた実績にあります。たとえば2025年に修正されたパス・トラバーサルの脆弱性CVE-2025-8088は、修正後もロシア系とされる攻撃グループにより、ウクライナの組織などを標的に悪用が継続したと報じられました。「直った脆弱性」ではなく「更新していない端末が残っている脆弱性」が狙われるわけです。

この構図は、自動更新の無いWinRARの弱点そのものです。だからこそ、公表直後のいまのうちに更新を徹底することが、実効的な防御になります。

情シスはどうすべきか

やるべきことは、突飛な対策ではなく地道な基本の徹底です。

  • 棚卸しと更新:資産管理ツールやスクリプトでWinRARの導入端末とバージョンを洗い出し、7.23へ更新する。用途が無ければアンインストールも選択肢です(攻撃対象領域そのものを減らせます)。
  • ユーザー教育:アーカイブファイルはマルウェアの定番の運び屋です。心当たりのない.rar/.rev等を安易に開かない、という啓発を繰り返し行う。地道なユーザ教育の積み重ねが、操作を要する攻撃への最も現実的な歯止めになります。

脆弱性対応やパッチ管理の進め方に不安がある場合は、まず公的機関の指針を土台にすると迷いが減ります。IPAの中小企業の情報セキュリティ対策ガイドラインは、資産管理・更新運用の考え方を体系的に整理しています。エンドユーザー向けの注意喚起には、IPAの対策のしおりも活用できます。当サイトの脆弱性・脅威情報セキュリティ対策・運用の記事も、あわせて棚卸しの参考にしてください。

まとめ

  • WinRARにCVE-2026-14191(CVSS7.8)が判明。RAR5の.rev処理でメモリ破壊が起き、細工ファイルを処理するとコード実行の恐れ。修正版7.23が2026年6月30日に公開された。
  • WinRARは自動更新が無く、野良インストールも多い。対応の本質は「7.23を入れる」ことに加え、資産の棚卸しと更新の仕組みづくりにある。
  • 過去の脆弱性は修正後も悪用が続いた。公表直後のいま、更新徹底とユーザー教育を並行して進めることが最も現実的な防御になる。

出典

タイトルとURLをコピーしました