7-Zipにファイルを開くだけで乗っ取りの脆弱性 CVE-2026-48095、26.01へ更新を
無料の圧縮・解凍ソフト7-Zipに、細工されたファイルを開くだけでパソコンを乗っ取られかねない脆弱性が見つかりました。CVE-2026-48095でCVSSは8.8。バージョン26.00以前が対象で、zipやrarに偽装したファイルでも発火します。7-Zipには自動更新がなく実証コードも公開済み。対象バージョンと更新手順、いますべきことをまとめます。
堀川 慎
Backend Engineer / AWS / Django / Go
無料の圧縮・解凍ソフト7-Zipに、細工されたファイルを開くだけでパソコンを乗っ取られかねない脆弱性が見つかりました。CVE-2026-48095でCVSSは8.8。バージョン26.00以前が対象で、zipやrarに偽装したファイルでも発火します。7-Zipには自動更新がなく実証コードも公開済み。対象バージョンと更新手順、いますべきことをまとめます。
無料の圧縮・解凍ソフトとして世界中で使われている「7-Zip」に、細工されたファイルを開くだけでパソコンを乗っ取られかねない深刻な脆弱性(情報セキュリティ上の欠陥)が見つかりました。共通の管理番号はCVE-2026-48095で、深刻度を10点満点で表すスコア(CVSS v3.1)は8.8、4段階で上から2番目の「重要(High)」に分類されています。
問題があるのはバージョン26.00以前のすべての7-Zipです。開発者は2026年4月27日に公開したバージョン26.01で修正済みですが、7-Zipにはブラウザやスマホアプリのような自動更新の仕組みがありません。一度入れたまま何年も放置している人が多く、手元のソフトが古いままになっている可能性があります。攻撃の実証コード(PoC)はすでに公開されており、日本でも窓の杜などが最新版への更新を呼びかけています。
この記事では、何が起きるのか、なぜ「拡張子がzipだから安全」とは言えないのか、実際に悪用される条件はどれくらいか、そして手元のパソコンでいま何をすればいいのかを、専門知識がなくてもわかるように整理します。
どのバージョンが対象で、どうやって更新すればいいのか
まず結論から書きます。手元の7-Zipが26.00以前なら影響を受けます。26.01以降に更新すればこの問題は塞げます。自分のバージョンは、7-Zipを起動して上のメニューから「ヘルプ」→「バージョン情報」を開けば確認できます。
| 使っているバージョン | 状態 | いますべきこと |
|---|---|---|
| 26.01 以降 | 修正済み | 対処は不要 |
| 26.00 以前すべて (25.x / 24.x / それ以前) | 影響あり | 26.01以降へ 手動で更新 |
| バージョン不明 | 確認が必要 | ヘルプ→ バージョン情報で確認 |
更新は、必ず7-Zip公式サイト(7-zip.org)から最新版のインストーラーをダウンロードして上書きインストールします。検索結果の広告や見慣れないミラーサイトからは落とさないのが鉄則です。古いバージョンを先にアンインストールする必要はなく、新しいインストーラーをそのまま実行すれば上書きされます。なお、Linux版やmacOS版で使われるp7zipや、7-Zipのコードを内部で取り込んでいる他のソフトも同じ問題を抱えている場合があります。配布元の更新案内もあわせて確認してください。
何が起きるのか。細工されたファイルを開くだけでパソコンが乗っ取られる
今回の脆弱性は、7-ZipがNTFSイメージと呼ばれる種類のファイルを読み込む処理に潜んでいます。NTFSはWindowsが使うディスクの記録形式で、その中身をまるごと1つのファイルに固めたものがNTFSイメージです。7-Zipはこうしたディスクイメージも展開できるよう、専用の読み取り機能(NTFSハンドラ)を持っています。
問題は、攻撃者が値を細工したNTFSイメージを7-Zipに読み込ませると、内部で用意するメモリの大きさを計算し間違える点にあります。本来は十分な広さの置き場所(バッファ)を確保すべきところを、計算がおかしくなってわずか1バイトしか確保しない状態になります。そこへ最大256メガバイトもの攻撃者の用意したデータが書き込まれ、確保した枠を大きくはみ出してメモリの別の場所を壊してしまいます。これが「ヒープバッファオーバーフロー」と呼ばれる典型的な乗っ取りの足がかりです。
CVE-2026-48095:NTFSイメージの処理で起きるヒープバッファオーバーフロー
この欠陥にはCVE-2026-48095という管理番号が割り当てられています。技術的な分類では「整数オーバーフロー(CWE-190)」と「確保した領域外への書き込み(CWE-787)」の組み合わせにあたります。発見したのは、ソフトウェアの脆弱性を専門に調べるGitHub Security LabのJaroslav Lobačevski氏です。
技術的な解説によれば、NTFSイメージ内の特定のパラメータ(クラスタサイズの指定値)を異常な大きさにすると、メモリ確保のための掛け算が処理しきれずに破綻し、確保サイズが1バイトに落ち込みます。そのままデータの読み込みが続くため、隣り合うメモリ上の重要な情報(プログラムが次にどの処理を呼ぶかを指す目印)が書き換えられ、最終的に攻撃者が用意したプログラムを実行させられる、とセキュリティ各社が分析しています。乗っ取られたプログラムは、その7-Zipを動かしている利用者の権限で動きます。つまり、あなたが普段の権限でファイルを開けば、攻撃者のコードも普段のあなたの権限で動いてしまいます。
この穴を、どんな人が、何のために狙うのか
この脆弱性が本当に怖いのは、ファイルをたった1つ開かせるだけで、パスワードもログインもいっさい要らずに、そのパソコンの中で攻撃者のプログラムが動き出してしまう点です。狙ってくるのは、取引先や応募者を装って書庫ファイルを送りつける標的型メールの送り主、人気ソフトや動画の海賊版を装ってダウンロードさせる配布者、業務委託や見積もりを装って資料を送る詐欺グループです。彼らの目当ては、そのパソコンに入っている業務資料や顧客名簿、各種サービスのIDとパスワード、ブラウザに保存された認証情報、暗号資産の鍵といった、現金や次の侵入に直結する中身です。細工された書庫ファイルを開いた瞬間、これらを吸い上げるプログラムが、あなた自身の権限でそのまま起動してしまいます。
一度プログラムが動き出せば、被害は1台では止まりません。盗んだIDとパスワードで社内の共有サーバーや他の端末へ入り込み、最終的にはランサムウェア(データを人質に身代金を要求するウイルス)を社内全体にばらまく入口として使われます。抜き取った顧客名簿や認証情報は地下市場で転売され、それを買った別の者がなりすましや次のフィッシングに使い、被害がさらに横へ広がっていきます。圧縮ファイルは仕事のやり取りで日常的に飛び交うため、受け取った側が警戒しにくいぶん、入口として狙われやすいのが厄介なところです。
そして、その後始末の責任は受け取った個人ではなく、多くの場合その人が所属する会社に返ってきます。顧客情報が漏れれば本人への通知や個人情報保護委員会への報告が必要になり、取引先への謝罪や損害賠償、止まった業務の立て直しまで背負うことになります。CVSSの「8.8」という数字は技術的な深刻度を示すだけで、実際にのしかかるのはこうした現実のコストです。だからこそ、無料で気軽に入れた1本のソフトを最新版にしておけるかどうかが、会社と取引先を守れるかどうかの分かれ目になります。
「拡張子がzipだから安全」とは言えない理由
今回の問題でとくに注意したいのが、攻撃に使われるファイルがNTFSイメージ用の拡張子である必要がないという点です。「自分はディスクイメージなんて開かないから関係ない」と思いがちですが、それでは防げません。
7-Zipには、ファイルの拡張子だけでなく中身の特徴(署名)を見て形式を判断し、うまく開けなければ別の読み取り機能に回す仕組みがあります。このため、攻撃者は悪意あるNTFSイメージの中身を持つファイルに「.7z」「.zip」「.rar」といったありふれた拡張子を付けて偽装でき、利用者がそれをいつもの感覚で開くと、最終的に問題のあるNTFS読み取り処理に流れ込んで発火します。実際、海外のセキュリティ研究者も「名前を変えただけのファイルでも発火しうる」と注意を促しています。
つまり、「拡張子がzipだから普通の圧縮ファイルだろう」という思い込みが通用しません。メールに添付された見慣れない書庫ファイル、掲示板やSNSで配られた圧縮ファイル、海賊版を装った配布物などを、古い7-Zipで何気なく展開しただけで条件がそろってしまいます。逆に言えば、信頼できない相手から届いた圧縮ファイルをむやみに開かないことが、更新と並んで効く対策になります。
発覚から公開までの流れ
この脆弱性は、研究者が非公開で報告してから修正、そして実証コードの公開へと進みました。すでに修正版は出ているものの、攻撃の手口を再現するコードが公開されている状態です。時系列で整理します。
← スワイプで移動
実際に悪用される条件と、いまの危険度はどれくらいか
過度に怖がる必要はありませんが、軽く見るのも危険です。この脆弱性が突かれるには、利用者が細工されたファイルを実際に7-Zipで開く(展開やテストをする)必要があります。CVSSの内訳でも「利用者の操作が必要(UI:R)」とされており、何もしていないのに勝手に乗っ取られるタイプではありません。逆に言えば、ネット越しに無認証で一撃を入れられる工場向けソフトの無認証リモート攻撃のような即時性はなく、攻撃者はまず「開かせる」ためのひと工夫を凝らす必要があります。
一方で軽視できないのは、いったん開かせてしまえばパスワードやログインなしに任意のプログラムを実行できる点と、すでに実証コード(PoC)が公開されている点です。7-Zipは個人から企業まで広く使われ、メールやファイル共有で圧縮ファイルをやり取りする場面は日常的にあります。攻撃の材料がそろい、利用者の警戒も緩みやすいという条件は、攻撃者にとって魅力的です。同じく圧縮・展開処理での欠陥は、IBM Asperaのバッファオーバーフローのように繰り返し見つかっており、ファイルを「開く・展開する」入口は狙われやすい急所です。
なお、米国の政府機関CISAが「実際に攻撃に使われている脆弱性」をまとめたKEVカタログには、2026年6月6日時点で本件は登録されていません。広範な悪用が確認された段階ではありません。ただし実証コードが出回っている以上、攻撃者が悪用に転用するハードルは下がっています。「まだ攻撃が広がっていないうちに塞ぐ」のが最も低コストな対応です。
なぜ「入れっぱなし」が一番危ないのか
7-Zipが厄介なのは、ソフト自体の品質ではなく更新のされ方にあります。ブラウザやスマホアプリは裏で勝手に最新版へ入れ替わりますが、7-Zipには自動更新の仕組みがありません。利用者が自分で公式サイトを訪れ、最新版をダウンロードして入れ直さない限り、何年も前のバージョンがそのまま動き続けます。「一度入れたら存在を忘れる」典型的なソフトで、だからこそ古い版が大量に残ったままになります。
しかも7-Zipは無料で軽く、解凍ソフトの定番として個人・企業を問わず幅広く使われています。サーバーやNAS、社内の共有端末、自動処理のバッチなど、人目につかない場所で動いていることも珍しくありません。窓の杜が最新版への更新を呼びかけたのも、利用者の母数が大きいぶん、放置されたままの古い版が多いと見込まれるからです。
この「身近で広く使われているのに更新が後回しになりがち」という構図は、家庭のネットワーク機器やスマート家電と同じ弱点です。TP-Linkのスマート家電や各種ルーターと同様、「自分が使っている定番ツールにも更新が要る」と意識して、年に何度かはバージョンを見直す習慣が、いちばん効く守りになります。
いま何をすればいいのか
やるべきことは、基本的に7-Zipの更新ひとつです。手順は次のとおりです。
- 7-Zipを起動し、メニューの「ヘルプ」→「バージョン情報」で現在のバージョンを確認する
- 26.00以前なら、公式サイトの公式ダウンロードページから26.01以降のインストーラーを入手し、上書きインストールする
- 必ず公式サイト(7-zip.org)から落とす。検索広告や見慣れないミラー、配布まとめサイト経由は避ける
- Linux/macOSのp7zipや、7-Zipのコードを内部利用するソフトを使っている場合は、その配布元の更新案内も確認する
- サーバー・NAS・社内端末など、人目につかない場所で動いている7-Zipも見落とさず更新する
更新がすぐにできない事情がある場合は、当面の応急策として信頼できない相手から届いた圧縮ファイルを古い7-Zipで開かないことを徹底してください。今回の攻撃は「細工されたファイルを開く」ことが前提なので、心当たりのない添付ファイルや、海賊版・怪しい配布物を展開しないだけでもリスクは大きく下げられます。拡張子がzipやrarでも油断できない点は、前述のとおりです。
企業でパソコンを管理している場合は、配布済みの7-Zipのバージョンを棚卸しし、26.01以降への更新を一括で進めるのが確実です。国内のメディアでも具体的な確認・更新手順が紹介されており、社内への周知にも使えます。
よくある質問
Q. 自分の7-Zipが対象かどうか、どう確認すればいいですか。
7-Zipを起動し、メニューの「ヘルプ」→「バージョン情報」を開いてください。表示されたバージョンが26.00以前なら影響を受けます。26.01以降であれば修正済みで、対処は不要です。バージョンがわからないときも、この画面で確認できます。
Q. 自分で作った圧縮ファイルや、信頼できる相手からのファイルを開くだけでも危ないですか。
いいえ。この脆弱性が発火するのは、攻撃者がこの問題を突くために細工したファイルを開いたときだけです。普段やり取りしている正規の圧縮ファイルでは起きません。ただし、攻撃者は拡張子をzipやrarに偽装できるため、「拡張子が普通だから安全」とは判断できません。信頼できない相手からのファイルは古い版で開かないのが安全です。
Q. すでに攻撃に使われていますか。
2026年6月6日時点で、米CISAのKEVカタログへの登録はなく、実際に悪用されたという報告も確認されていません。ただし、攻撃を再現する実証コード(PoC)は2026年5月22日に公開されており、誰でも入手できる状態です。広範な悪用が始まる前に更新しておく価値があります。
Q. WindowsのエクスプローラーやWinRARなど、7-Zip以外の解凍機能でも同じ問題がありますか。
今回の脆弱性は7-Zip固有のもので、Windows標準の機能や他社の解凍ソフトに直接あてはまるものではありません。ただし、7-Zipのコードを内部に取り込んでいるソフト(Linux/macOSのp7zipなど)は同じ問題を抱えている場合があります。それらを使っている場合は、配布元の更新情報を確認してください。
まとめ
CVE-2026-48095は、定番の圧縮・解凍ソフト7-Zipのバージョン26.00以前にある深刻な脆弱性です。攻撃者が細工したファイルを開くと、メモリの計算ミスからヒープバッファオーバーフローが起き、最終的にそのパソコンで任意のプログラムを実行されかねません。NTFSイメージ向けの拡張子でなくても、zipやrarに偽装したファイルで発火しうる点が、被害を広げやすいポイントです。
修正版のバージョン26.01はすでに公開されています。7-Zipには自動更新がないため、利用者が自分でバージョンを確認し、公式サイトから最新版へ更新する必要があります。2026年6月6日時点で広範な悪用は確認されていませんが、実証コードは公開済みです。古い版を入れっぱなしにしている人ほど、いまのうちに「ヘルプ→バージョン情報」を開いて確認しておくのが確実です。
参照元
- ▸ NVD - CVE-2026-48095
- ▸ GitHub Security Lab - GHSL-2026-140: 7-Zip Heap Buffer Overflow
- ▸ 7-Zip 公式 - History(26.01は2026年4月27日リリース)
- ▸ 7-Zip 公式ダウンロードページ
- ▸ 窓の杜 - 「7-Zip」にヒープバッファーオーバーフローの脆弱性、最新版への更新を
- ▸ SOC Prime - CVE-2026-48095: 7-Zip Heap Overflow Flaw
- ▸ TechSpot - New 7-Zip security flaw could put hundreds of millions of systems at risk
- ▸ CWE-787: Out-of-bounds Write
- ▸ CWE-190: Integer Overflow or Wraparound