クラウド保存ツールRcloneに認証なしで遠隔操作される脆弱性、CVE-2026-49980、v1.74.3へ更新を
クラウドにファイルを保存・同期する定番ツール『Rclone』に、認証なしで遠隔から悪用できる脆弱性が見つかりました。CVE-2026-49980、深刻度は最高クラスのCVSS9.8。リモート操作機能(rcd)をネットワークに開いていると、細工した通信を一度送るだけで、Rcloneが動くマシン上で任意のコマンドを実行される恐れがあります。1.46.0〜1.74.2が対象で、1.74.3へ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
クラウドにファイルを保存・同期する定番ツール『Rclone』に、認証なしで遠隔から悪用できる脆弱性が見つかりました。CVE-2026-49980、深刻度は最高クラスのCVSS9.8。リモート操作機能(rcd)をネットワークに開いていると、細工した通信を一度送るだけで、Rcloneが動くマシン上で任意のコマンドを実行される恐れがあります。1.46.0〜1.74.2が対象で、1.74.3へ更新を。
クラウドにファイルを保存・同期するための定番ツール「Rclone(アールクローン)」に、本人確認(認証)なしで遠隔から悪用できる脆弱性(プログラムの欠陥)が見つかりました。CVE-2026-49980、深刻度は10点満点中ほぼ最高の9.8(緊急)です。
対象はバージョン1.46.0から1.74.2まで。GitHubが報告し、2026年6月24日に公開されました。修正は1.74.3に含まれています。Rcloneを遠隔操作するための常駐機能(rcd)をネットワークに開いている場合、攻撃者が認証なしの通信を一度送るだけで、Rcloneが動いているマシン上で任意のコマンドを実行できてしまう恐れがあるため、すぐに更新が必要です。
Rcloneとはどんなツールか
Rcloneは、Amazon S3・Google Drive・Dropbox・OneDriveなど70種類以上のクラウドストレージとファイルをやり取りできるコマンド操作のツールです。クラウドへのバックアップや復元、サービス間のデータ移行、暗号化した保存などができ、「クラウドストレージの十徳ナイフ」とも呼ばれます。Linux・Windows・Macで広く使われ、主要なLinuxディストリビューション(OSの種類。Ubuntu等)の公式パッケージにも収録されています。
今回の欠陥は、Rcloneの「リモートコントロール用の常駐機能(rcd)」にあります。Rcloneはrclone rcdというコマンドで、ほかのプログラムやブラウザからネットワーク越しにRcloneを操作するためのAPI(窓口)を立ち上げられます。自動化やWeb管理画面のために便利な機能ですが、この窓口の作りに穴がありました。
誰が狙い、何をされ、どうなるのか
危ないのはRcloneのリモートコントロール機能(rcd)を、認証をかけずにネットワークから触れる状態で動かしているサーバーや個人です。バックアップの自動化や、クラウド同期をまとめて管理するために、この窓口を立ち上げたまま運用しているケースが当てはまります。社内ネットワークやクラウド上で、ほかのサービスから到達できる位置に置いているだけでも対象になり得ます。
攻撃者がすることは、この窓口へ細工した通信を一度送りつけ、本人確認を受けないまま、Rcloneが動いているマシン上で好きなコマンドを実行させることです。ログインも合言葉も不要で、通信が届く位置にいれば成立してしまう点が、深刻度を最高クラスに押し上げています。
実行はRcloneを動かしている利用者の権限で行われます。Rcloneはクラウドストレージの認証情報(鍵)を握っているため、乗っ取られればバックアップ先のデータの抜き取りや消去、保存内容の改ざん、さらに同じマシンを足がかりにした侵入の拡大まで起こり得ます。バックアップを守るための道具が、逆にデータ全体を危険にさらす入口になってしまうわけです。
実際に攻撃へ使われ始めた脆弱性は、米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあります。日本語で追える一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
脆弱性の中身
原因は、本来は守りをかけるべき重要な窓口に、本人確認が抜けていたことです。
CVE-2026-49980:認証なしの一撃で任意コマンド実行(CVSS 9.8)
公開情報によると、Rcloneのリモートコントロール用サーバー(rcd --rc-serve)は、特定のURLに対する認証なしのGET・HEADリクエストを受け付けていました。攻撃者はこの窓口に対し、接続先の設定を通信の中に直接書き込む「インライン設定」という指定を悪用することで、Rcloneプロセスの権限で任意のコマンドを実行できます。必要なのはネットワーク越しのリクエスト1回だけで、ログインも操作の誘導もいりません。
修正版の1.74.3では、この窓口の扱いが見直され、認証なしで重要な機能に到達できないように改められています。なお本件は外部から取り込むツールの管理という観点ともつながり、利用するパッケージやサービスの点検はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。
自分が対象かどうかの早見表
影響を受けるのは1.46.0〜1.74.2で、とくにリモートコントロール機能をネットワークに開いている場合に危険です。バージョンはrclone versionで確認できます。
| 使っている バージョン | リモート操作機能 (rcd) の状態 | やること |
|---|---|---|
| 1.46.0 〜 1.74.2 | ネットワークに 開いている | 最優先で 1.74.3へ更新 |
| 1.46.0 〜 1.74.2 | 使っていない (通常のコマンドのみ) | 早めに 1.74.3へ更新 |
| 1.74.3 以降 | ― | 対応不要 |
リモートコントロール機能を使わず、ふだんのrclone copyなどコマンドだけで使っている場合は、外部から窓口に通信が届かないため危険度は下がります。ただし将来この機能を有効にする可能性を考えると、いずれにせよ1.74.3以降への更新をおすすめします。
いま取るべき対策
最優先は、Rcloneを1.74.3以降へ更新することです。各OSのパッケージや公式の配布ページから最新版を入手してください。
すぐに更新できない場合の緩和策として、リモートコントロール機能(rcd)を不特定の相手から触れない位置に隔離することが有効です。具体的には、接続を待ち受ける範囲を自分のマシン内(localhost)に限定する、--rc-user/--rc-passで必ず認証をかける、ファイアウォールで外部からの接続を遮断する、といった対応です。あわせて、身に覚えのないプロセスや通信、不審なファイル操作がないかを点検してください。万一すでに乗っ取られていた場合に備え、Rcloneに設定したクラウドの認証情報は、更新後に入れ替えておくのが安全です。
まとめ
RcloneのCVE-2026-49980は、リモートコントロール用の窓口に本人確認が抜けていたために、認証なしの通信1回で任意のコマンドを実行されてしまう脆弱性です。深刻度はCVSS 9.8とほぼ最高クラスで、対象は1.46.0〜1.74.2、1.74.3で修正済みです。
Rcloneはクラウドの鍵を預かるバックアップの要所だけに、乗っ取られたときの被害は大きくなります。リモートコントロール機能を開いているなら最優先で、そうでなくても早めに1.74.3以降へ更新してください。Rcloneに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。