オープンソースのアンチウイルスエンジン「ClamAV」に、7件の脆弱性が公表されました。攻撃者が細工したファイルをスキャンさせると、スキャンプロセスがクラッシュしたり、メモリ破壊・一時ストレージの枯渇が起きるおそれがあります。ClamAVを直接運用している組織はもちろん、ClamAVエンジンを内部に組み込むCisco Secure Endpointなどの製品を使っている情シスも影響対象です。開発元のCisco Talosは修正版「1.5.3」「1.4.5」を2026年7月1日に公開しており、対応の基本はこのバージョンへの更新です。
この記事でわかること
- 今回のClamAV脆弱性7件の中身と、どんな影響が出るのか
- 自社が影響を受けるかの見分け方(直接利用か、製品組み込みか)
- 情シスとして今すぐ確認・対応すべきこと
何が起きたのか
ClamAVは、メールゲートウェイやファイルサーバのウイルススキャン、各種セキュリティ製品のスキャンエンジンとして広く使われるオープンソースソフトウェアです。今回、開発を主導するCisco Talosが、ファイル解析処理に潜む7件の脆弱性を修正し、セキュリティアップデート版をリリースしました。
いずれも共通するのは、「パッカー(実行ファイル圧縮)」や「アーカイブ形式」など特定形式のファイルを解析したときに問題が起きるという点です。ウイルス対策ソフトは怪しいファイルの中身を展開して調べる性質上、こうしたパーサ(解析処理)の不具合が攻撃面になりやすいという構造的な弱点があります。
7件の脆弱性の内容
公表された脆弱性は以下の7件です。多くはスキャン処理のクラッシュ(サービス妨害=DoS)につながるもので、一部は範囲外書き込み(メモリ破壊)を伴います。CiscoはCVSS v3.1のベーススコアを「7.5」(重要)と評価しています。
| CVE番号 | 問題のある処理 | 主な影響 |
|---|---|---|
| CVE-2026-20213 | Aspack形式PEファイルの再構築サイズ計算 | 整数オーバーフロー→ヒープ領域への範囲外書き込み |
| CVE-2026-20214 | FSGアンパッカーのループ処理 | アンダーフロー→セクション配列の範囲外書き込み |
| CVE-2026-20215 | 7zパーサのサブストリーム数処理 | オーバーフロー→メタデータ配列の範囲外書き込み |
| CVE-2026-20216 | InstallShieldアーカイブの抽出制限 | 制限回避→一時ストレージの枯渇 |
| CVE-2026-20217 | PESpinアンパッカーの後処理 | スキャン対象バッファへのポインタ解放→クラッシュ |
| CVE-2026-20243 | ALZパーサのサイズ処理 | スキャンの中断 |
| CVE-2026-20244 | DMGパーサのサイズチェック(32ビットビルド) | 32ビット版のクラッシュ(64ビット版は影響なし) |
CVE-2026-20213・20214・20215は「範囲外書き込み」を伴いますが、現時点でベンダーはこれらをサービス妨害(DoS)として位置づけており、リモートでの任意コード実行が可能とする報告は確認されていません。とはいえメモリ破壊系の不具合は将来的により深刻な悪用につながる余地があるため、DoSだからと軽視せず速やかに塞ぐのが妥当です。本稿執筆時点で、実際に悪用された(exploited in the wild)という報告は確認されていません。
なぜ古いバージョンまで一気に影響するのか
Cisco Talosの説明によると、一部の不具合は2004〜2009年ごろに導入されたコードにまで遡ります。つまり長年潜在していたものが今回まとめて修正された形で、「うちは枯れた古いバージョンだから大丈夫」という発想はむしろ危険です。DMGパーサの不具合(CVE-2026-20244)は0.98.1以降の32ビットビルドが対象とされ、対象範囲は広めです。
影響を受ける環境/自社は影響あるか
影響を受けるのは大きく2パターンです。棚卸しの観点として押さえておきましょう。
- ClamAVを直接運用している:メールゲートウェイ、ファイルサーバ、CI/CDのスキャン、Linuxサーバ等でclamd/clamscanを動かしている場合。1.5系なら1.5.3、1.4系なら1.4.5へ更新します。
- ClamAVエンジンを組み込んだ製品を使っている:Cisco Secure Endpoint(旧AMP for Endpoints)をはじめ、内部でClamAVを利用するセキュリティ製品・アプライアンス。これらは製品ベンダーが配布する更新を待って適用するのが基本で、ClamAV本体を手動で差し替えるものではありません。ベンダー各社のアドバイザリを確認してください。
盲点になりやすいのは後者です。ClamAVという名前を意識していなくても、導入済みのセキュリティ製品が内部で使っているケースは珍しくありません。「自社にClamAVは無い」と即断せず、EDR・メール/Webゲートウェイ・サンドボックス製品のベンダー情報も横断的に確認するのが安全です。
想定されるリスク
最も現実的なリスクは、スキャンエンジンが止まること自体です。攻撃者が細工したファイルをメールに添付する、あるいはスキャン対象の場所に置くだけで、スキャンプロセスをクラッシュ・スキップさせられる可能性があります。ウイルス対策が一時的に機能しない隙を突いて、本命のマルウェアを通過させる——といった連鎖も理屈のうえでは考えられます。
「検知されない」のではなく「検知の仕組み自体を黙らせる」タイプの攻撃であり、防御側からは気づきにくいのが厄介な点です。
現場目線の課題
正直なところ、ClamAVは「気づかないうちに使っている」ソフトの代表格です。自前で導入した記憶がなくても、ある製品の一機能として同梱されていたり、開発チームがコンテナイメージのスキャンに組み込んでいたり——といった形で組織内に散らばっていることが少なくありません。資産管理台帳に「ClamAV」と明記されていないと、影響範囲の把握そのものに手間取ります。
また、直接運用しているサーバ側は自分たちで更新できても、製品組み込み分はベンダーの更新提供を待つしかないという時間差が生じます。この間の暫定対応(信頼できないファイルの取り扱い制限など)をどう回すかは、限られた人員では悩ましいところです。まずは「どこでClamAVが動いているか」を洗い出すことが、地味ですが最優先の作業になります。
情シスはどうすべきか
対応の要点を整理します。
- 直接運用分は修正版へ更新:1.5系→1.5.3、1.4系→1.4.5。EOL間近の古い系統を使っているなら、この機会にサポート対象バージョンへの移行も検討します。
- 製品組み込み分はベンダー情報を確認:Cisco Secure Endpointなど、利用中製品のセキュリティアドバイザリで対象バージョン・更新提供状況をチェックし、提供され次第適用します。
- 資産の棚卸し:どこでClamAVが動いているか(サーバ、コンテナ、製品同梱)を可視化する。
脆弱性管理の全体的な進め方や、外部から入ってくるファイルの取り扱いに関する社内ルールづくりについては、公的機関の指針を土台にするのが確実です。中小規模の組織であればIPAの「中小企業の情報セキュリティ対策ガイドライン」が実務の出発点になります。あわせて、怪しい添付ファイルを不用意に開かない・置かないといった基本動作を現場に浸透させるユーザ啓発も、こうした「スキャンを狙う」攻撃には効いてきます(IPA「対策のしおり」なども活用できます)。
中長期の視点
今回のように「セキュリティ製品そのものの脆弱性」は今後も繰り返し出てきます。守るための道具が攻撃面になるという構造は、ClamAVに限らずEDRやファイアウォールでも同じです。だからこそ、防御製品も一般ソフトウェアと同じ土俵で脆弱性管理・パッチ適用の対象に含めておくこと、そしてオープンソースを含めた「使っているコンポーネントの見える化(SBOM的な発想)」を平時から進めておくことが、結局はいちばんの近道になります。
まとめ
- ClamAVに7件の脆弱性が公表され、修正版1.5.3/1.4.5が2026年7月1日にリリースされた。多くはスキャン処理のDoS、一部はメモリ破壊を伴う(CVSS 7.5)。
- 直接運用分は修正版へ更新。Cisco Secure Endpointなどエンジン組み込み製品も対象で、こちらはベンダー配布の更新を待って適用する。
- まずは「どこでClamAVが動いているか」の棚卸しが最優先。現時点で実際の悪用報告は確認されていない。
出典
- ClamAV公式ブログ(1.5.3/1.4.5リリース): https://blog.clamav.net/
- Cisco Security Advisories(ClamAV関連・2026年7月1日公表分): https://sec.cloudapps.cisco.com/security/center/publicationListing.x
- Security NEXT(報道): https://www.security-next.com/186715
- IPA 中小企業の情報セキュリティ対策ガイドライン: https://www.ipa.go.jp/security/guide/sme/index.html

