SBI証券『HYPER SBI 2』に乗っ取りの脆弱性 CVE-2026-42936、最新版3.20.0へ更新を
SBI証券の株取引ツール「HYPER SBI 2」に、パソコンを乗っ取られる恐れのある脆弱性CVE-2026-42936が見つかりました。3.20.0より前のインストーラが対象で、危険度は10点中8.4(重要)。攻撃の条件と、最新版3.20.0への更新など今すぐできる対策を、専門用語なしで整理します。
目次
SBI証券の株取引ツール「HYPER SBI 2」に、パソコンを乗っ取られる恐れのある脆弱性CVE-2026-42936が見つかりました。3.20.0より前のインストーラが対象で、危険度は10点中8.4(重要)。攻撃の条件と、最新版3.20.0への更新など今すぐできる対策を、専門用語なしで整理します。
SBI証券の株取引ツール「HYPER SBI 2」に、パソコンを乗っ取られる恐れのある脆弱性(プログラムの弱点)が見つかりました。2026年7月15日にJVN(日本の脆弱性情報データベース)が公表したもので、脆弱性の管理番号はCVE-2026-42936です。
問題があるのは、ツールを入れる(更新する)ときに使うインストーラ(導入プログラム)です。バージョン3.20.0より前のインストーラに弱点があり、条件がそろうと、あなたのパソコンで攻撃者の用意したプログラムが勝手に動いてしまう可能性があります。危険度は10点満点で8.4(重要)と評価されています。
HYPER SBI 2は、SBI証券の口座を持つ人が無料で使えるWindows向けの高機能な取引ツールです。リアルタイムの株価やチャートを見ながら発注できるため、個人投資家に広く使われています。対策はシンプルで、修正済みの最新版(3.20.0以降)に更新するだけです。何が危ないのか、どんなときに被害が起きるのか、順番に見ていきます。
脆弱性の概要
CVE-2026-42936: インストーラの「DLL読み込み」の弱点
今回の弱点は、専門用語で「DLLの探索順序の不備(DLLハイジャック)」と呼ばれるものです。Windowsのソフトは、動くときに「DLL」という部品ファイルを読み込みます。HYPER SBI 2のインストーラは、この部品を探すときに「まず自分と同じフォルダの中を見る」という動きをします。そのため、インストーラと同じフォルダに攻撃者が偽の部品ファイルを置いておくと、本物の代わりに偽物を読み込んでしまい、攻撃者の仕込んだプログラムが実行されてしまいます。
| 項目 | 内容 |
|---|---|
| 管理番号 | CVE-2026-42936 / JVN#59875262 |
| 対象製品 | HYPER SBI 2(SBI証券) |
| 影響を受ける版 | 3.20.0 より前のインストーラ |
| 弱点の種類 | DLL読み込みの不備 (CWE-427) |
| 危険度 | CVSS v4.0: 8.4(重要) CVSS v3.0: 7.8(重要) |
| 起こりうる被害 | 実行した人の権限で 任意のプログラムが動く |
| 対策 | 3.20.0 以降へ更新 |
| 報告者 | 松本和真 氏 (GMOサイバーセキュリティ byイエラエ) |
自分のバージョンは危ないのか(早見表)
危険なのは「インストーラ(導入・更新プログラム)」を実行する場面です。すでにインストール済みで普段使っているアプリ本体が、この弱点だけで直ちに乗っ取られるわけではありません。とはいえ次に更新する際に古いインストーラを使えば危険にさらされるため、下の表で自分の状況を確認してください。
| あなたの状況 | リスク | やること |
|---|---|---|
| 3.20.0 以降を 使っている | 対策済み | 追加対応は不要 |
| 3.20.0 より前を 使っている | 次の更新時に危険 | 最新版へ更新する |
| これから 新しく入れる | 古い導入ファイルは危険 | 公式から最新版を入手 |
| 古い導入ファイルが ダウンロード内に残る | 実行すると危険 | 古い導入ファイルは削除 |
バージョンは、HYPER SBI 2のメニューやSBI証券のリリースノートで確認できます。古い導入ファイル(セットアップ用の.exe)がダウンロードフォルダに残っている場合は、そのまま実行せず削除して、改めて公式から最新版を入手するのが安全です。
誰が、どう悪用するのか
この弱点は「誰でも今すぐ遠隔から乗っ取れる」種類のものではありません。悪用には前提条件があり、そこを正しく理解すると、過剰に怖がらず、しかし油断もしない判断ができます。
狙うのは、すでにあなたのパソコンに不正なファイルを置ける立場にいる攻撃者です。たとえば、別のマルウェア(悪意あるソフト)で先にパソコンへ侵入している者、共有パソコンを一時的に触れる者、あるいは細工した圧縮ファイル(zip)を「これがHYPER SBI 2の導入ファイルです」と装って配る者などが該当します。
その攻撃者は、インストーラと同じフォルダにこっそり偽の部品ファイル(DLL)を置きます。多くの人はインストーラを「ダウンロードフォルダ」に置いたまま実行するため、そこが狙われやすい場所になります。あとはあなたがインストーラをダブルクリックした瞬間、偽物が読み込まれ、攻撃者のプログラムがあなたの権限で動き出します。
乗っ取りが成立すると、被害は取引ツールの中だけにとどまりません。あなたの権限で動ける以上、パソコン内の他のファイルの盗み見や、別のマルウェアの追加インストール、パスワードやログイン情報の窃取まで広がる恐れがあります。証券口座を扱う端末である以上、金銭に直結する情報が集まっている点も見過ごせません。企業や組織の共用端末なら、そこを足がかりに社内へ侵入を広げる踏み台にされることもあります。
技術的に見るとどういう仕組みか
WindowsのプログラムがDLL(部品ファイル)を読み込むとき、OSは決められた順番でフォルダを探します。この探索順の初期設定では、「実行ファイルと同じフォルダ」が優先的に検索される場合があります。プログラム側が読み込むDLLのパス(置き場所)を厳密に指定していないと、攻撃者が同じフォルダに同名の偽DLLを置くだけで、本物より先に偽物が読み込まれてしまいます。これがDLLハイジャック(DLLプランティングとも呼ばれます)です。分類上は「CWE-427(未検証の検索パスによる読み込み)」に当たります。
インストーラは、一時的にしか使わないうえ管理者権限で動くことも多く、DLLハイジャックの標的になりやすい部類です。実はSBI証券では、旧ツール「HYPER SBI」でも同種のインストーラDLL脆弱性(JVN#71284826)が報告された経緯があり、今回はその後継である「HYPER SBI 2」で同じ系統の弱点が見つかった形です。今回の問題を報告したのは、脆弱性診断を手がけるGMOサイバーセキュリティ byイエラエの松本和真氏です。
今やっておくべき対策
対応は難しくありません。基本を押さえれば十分に防げます。
まず、HYPER SBI 2を最新版(3.20.0以降)に更新すること。これが根本対策です。すでに最新版なら追加の作業は要りません。次に、導入ファイル(セットアップ用の.exe)は公式サイトから入手し、実行前に置き場所を整えること。SNSやメール、身元不明の配布サイトから受け取った導入ファイルは使わないでください。ダウンロードフォルダに他のファイルが散らかっている状態で実行するより、空の新しいフォルダに導入ファイルだけを移してから実行するほうが、偽DLLを紛れ込ませる隙を与えずに済みます。そして、役目を終えた古い導入ファイルは削除すること。ダウンロードフォルダに残った古いセットアップ.exeは、うっかり再実行すると危険の入り口になります。
加えて、パソコン自体をマルウェアに侵入されないことが大前提です。この弱点は「すでに不正ファイルを置ける状態」を突くものなので、OSやセキュリティ対策ソフトを最新に保ち、怪しいファイルを開かない、という日頃の基本がそのまま防御になります。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go