「SignalRGB」のカーネルドライバに権限昇格の脆弱性 CVE-2026-8049／CVE-2026-8050、v1.3.7へ更新を

トップ/記事一覧/PCを光らせるソフト「SignalRGB」のドライバに権限昇格の穴 CVE-2026-8049

ニュース本日更新

堀川慎

Backend Engineer / AWS / Django / Go

2026.06.189 min8 views

Share X Hatena LINE LinkedIn RSS

この記事のポイント

パソコンのRGBライティングを制御する人気ソフト「SignalRGB」のドライバに、そのPCにログインできる人なら誰でも管理者級の特権操作に手が届く欠陥（CVE-2026-8049）と、PCを繰り返し強制終了させられる欠陥（CVE-2026-8050）が見つかりました。さらにこのドライバは、SignalRGBを使っていない他人のPCを攻撃する“持ち込み道具”（BYOVD）にも転用されかねません。修正版1.3.6／1.3.7への更新方法と、いま確認すべきことを整理します。

パソコンの内部やキーボード、ファンを光らせるための人気ソフトSignalRGBに、そのソフトが一緒に入れるカーネルドライバ（OSの最深部で動く部品）の欠陥が2件見つかりました。CVE-2026-8049とCVE-2026-8050で、開発元のWhirlwindFXが修正済みです。日本のJVNと米CERT/CC（VU#380058）の両方が注意を呼びかけています。

影響は2種類です。一つは、そのパソコンを使える人なら誰でも、本来は管理者しか触れないはずのハードウェア操作に手が届いてしまう「権限の壁の抜け穴」（CVE-2026-8049）。もう一つは、ちょっとした細工でパソコンを繰り返し強制終了（ブルースクリーン）させられる欠陥（CVE-2026-8050）です。攻撃にはそのパソコンへのログインが必要なので、ネット越しにいきなり乗っ取られる類のものではありません。修正版1.3.6（2026年5月30日より前に配布）以降、または1.3.7.0へ更新すれば塞げます。

ただし、この手のドライバの怖さはもう一段あります。署名済みの「正規の」ドライバなのに穴が空いていると、SignalRGBを使っていない他人のパソコンを攻撃するための“持ち込み道具”に転用されかねない、という点です（後述するBYOVDという手口）。この記事では、SignalRGBとは何か、2つの欠陥で具体的に何が起きるのか、なぜ「光らせるだけのソフト」がOSの最深部に部品を入れているのか、そして使っている人・使っていない人それぞれが何をすればいいのかを、専門知識がなくてもわかるように整理します。

SignalRGBとは何か、なぜOSの最深部に部品を入れるのか

SignalRGBは、パソコンのRGBライティング（虹色に光る装飾）をまとめて操作するためのソフトです。マザーボード、メモリ、ファン、キーボード、マウスなど、メーカーがバラバラな光る部品を一つの画面で統一して制御できるのが売りで、自作PCのユーザーやゲーマーに広く使われています。本来はメーカーごとに別々のアプリを立ち上げないと色を合わせられないところを、SignalRGB一つで面倒を引き受けてくれる、という便利ツールです。

問題は、こうした「光らせる・冷やす」系のソフトが、色や回転数を読み書きするためにパソコンのハードウェアへ直接触れる必要がある点です。ハードウェアの低レベルな操作は、普通のアプリには許されていません。そこで多くのRGB・ファン制御ソフトは、OSの最深部で動く「カーネルドライバ」という特別な部品を一緒にインストールし、それ越しにハードウェアへ手を伸ばします。便利さの裏で、各ソフトがOSの一番強い場所に小さな扉を一つ増やしているわけです。今回見つかったのは、SignalRGBが入れるその扉（SignalIo.sysというドライバ）の鍵のかけ方が甘かった、という話です。

2つの欠陥「CVE-2026-8049」と「CVE-2026-8050」で何が起きるのか

発見したのはセキュリティ研究者のShravan Kumar Sheri氏です。性質の異なる2件を見ていきます。

CVE-2026-8049：誰でもハードウェアの特権操作に手が届く（アクセス制御の不備）

本命はこちらです。SignalRGBのドライバが作る入り口（\\.\SignalIoという装置）に、誰が触っていいかを決める鍵がきちんと設定されていません。NVDの説明では、明示的なセキュリティ設定（SDDL）も、安全に開くための指定（FILE_DEVICE_SECURE_OPEN）もないまま装置が作られていたため、そのパソコンにログインできる利用者なら誰でもこの入り口の取っ手をつかみ、本来は管理者しか実行できないはずの特権的な命令（IOCTL）を送れてしまいます。CERT/CCによれば、これを使うとPCの内部部品の設定領域（PCIコンフィグ空間）を読み書きできるとされ、一般利用者の権限から、もっと強い権限へよじ登る足がかりになります。技術的な分類は「不適切なアクセス制御」です。

CVE-2026-8050：細工した命令でパソコンを強制終了させられる（NULLポインタ参照）

もう一つは、ドライバに中身が空っぽの命令を送りつけると、処理が破綻してパソコンが落ちる（ブルースクリーン）欠陥です。攻撃者がこれを繰り返せば、対象のパソコンを何度も強制終了させて使い物にならなくできます。分類は「NULLポインタ参照」。CVE-2026-8049が「鍵の甘い扉から忍び込んで特権操作する穴」だとすれば、こちらは「その同じ扉から壊れる命令を放り込んで動作を止める穴」です。データを盗む派手な被害ではありませんが、業務用や配信用のPCを狙って落とし続けられると、それだけで十分な妨害になります。

この穴を、誰が、何のために狙うのか

この弱点は、ネット越しに世界中の誰からでも突けるものではなく、すでにそのパソコンにサインインできる人だけが入口に立てます。そこに立てるのは、同じゲーミングPCを使う家族や同居人、共用の作業用パソコンに自分のIDで入る同僚や同級生、怪しい添付や偽サイトをきっかけに別ルートで先に忍び込んだ侵入者です。しかも、SignalRGBを一度も入れたことのないパソコンでも、攻撃者がこの「正規の署名付き」ドライバを自分のウイルスに紛れ込ませて持ち込めば、同じ穴が開いてしまいます。

狙いは派手な破壊ではなく、ふつうの利用者の立場から、そのパソコンで何でもできる一番強い管理者の座へ一気に上がることです。そこまで上がれれば、あやしい動きを見張るセキュリティソフトを黙らせる、盗んだものを隠す、見えないところで別のソフトを入れる、設定を持ち主のように書き換える。どれも思いのままになります。情報を盗むより手早く邪魔したいだけなら、空っぽの命令を送りつけてパソコンを何度も強制終了（ブルースクリーン）させ、使えなくすることもできます。

割を食うのは、そのパソコンの持ち主と、職場ならそれを管理する担当者です。自宅の自作PCなら最悪でも自分のマシンの話で済みますが、家族や同僚と共用するパソコンや会社の端末でこれを許すと、一台の乗っ取りが社内の奥へ進む足がかりに変わります。開発元のWhirlwindFXはすでに修正版を用意しているので、使っている人にできる最善は、次の章のとおりSignalRGBを最新版に上げて古いドライバを残さないことです。使っていない人も、見覚えのないドライバが勝手に持ち込まれないよう、OS側の防御を効かせておけば安心です。

なぜ「光らせるソフト」がここまで問題になるのか ― WinRing0の宿題

今回の件は、RGB・ファン制御ソフト業界が長年抱えてきた構造問題の延長線上にあります。きっかけはWinRing0という古いドライバです。2007年に作られ、多くのRGB・ファン制御ソフトがハードウェアへ触れるために共通して使ってきましたが、2020年に脆弱性（CVE）が指摘され、2010年には開発も終了。それでも業界全体が使い続けた結果、2025年にMicrosoftがこのドライバを危険なものとしてブロック対象に加え、各社のRGB・ファン制御ソフトが軒並み動かなくなる騒ぎになりました。この経緯はGamersNexusがLevel1TechsのWendell氏と詳しく検証しています。

日本語訳

WinRing0ドライバをめぐる興味深い顛末。なぜかEVGAが、みんなのファン制御を生かし続けることに一役買っている。

SignalRGBは、この問題に対してWinRing0をやめ、自社製のドライバに置き換えるという、業界では珍しい正攻法を選びました。開発元は「相当のエンジニアリング資源を要する難しい作業だった」と述べています。方向性としては正しい判断です。ところが、その自前で作り直したドライバ（SignalIo.sys）の側に、今度はアクセス制御の不備という別の穴が見つかった、というのが今回の構図です。古い共通ドライバの宿題を片付けにいった先で、新しい宿題が出た格好で、ハードウェアにじかに触る部品を安全に作ることがいかに難しいかを示しています。なお、こうした「正規だが危険なドライバ」がどう悪用され、どう監視・ブロックされていくのかは、攻撃に使われた脆弱性のカタログの動きとあわせて見ておくと、傾向がつかめます。

対象バージョンと、どう更新すればいいのか

まず結論です。SignalRGBは、修正版1.3.6（2026年5月30日より前に配布）以降、または1.3.7.0に更新すれば、今回の2件（CVE-2026-8049とCVE-2026-8050）を塞げます。それより前のバージョンはすべて影響を受けます。SignalRGBは通常、起動時に自動で更新を確認しますが、念のため手動で最新版の確認を行い、適用後に再起動しておくのが確実です。最新版や更新内容はSignalRGB公式の変更履歴（Changelog）で確認できます。

使っているバージョン	状態	いますべきこと
1.3.7.0 （または1.3.6以降）	修正済み	対処は不要
1.3.6より前のバージョン	影響あり	最新版へ更新し再起動
もう使っていないがアンインストールが不完全	古いドライバが残っている可能性	残存ドライバの削除を確認

注意したいのは、SignalRGB本体をアンインストールしても、カーネルドライバが取り残されることがある点です。古い脆弱なドライバがディスクに残っていると、それ自体が前述のBYOVD（持ち込み道具）の材料になり得ます。「もう使っていないから関係ない」と思っている人ほど、ドライバが本当に消えているかを一度確認しておく価値があります。

いま何をすればいいのか

立場ごとに、やるべきことを整理します。

SignalRGBを使っている人：最新版（1.3.7.0、または1.3.6以降）へ更新し、適用後に再起動する。更新確認は公式の変更履歴で行う
もう使っていない人：本体だけでなく、SignalIo.sysなどの古いドライバが残っていないかを確認し、残っていれば削除する
会社・組織でPCを管理している人：一般利用者がドライバを勝手に持ち込めないよう、管理者権限を絞り、Windowsの「脆弱なドライバのブロックリスト（HVCI／ドライバブロック）」を有効にしておく
使っていない人も：BYOVD対策としてOS側の防御（攻撃に悪用される既知ドライバの遮断）を効かせ、見覚えのないドライバの導入を監視する

今回の攻撃はネット越しに成立するものではないため、「いますぐ全社停止」といった緊急対応までは要りません。ただし、共用端末や開発機のように複数の人が触るPCでは権限昇格の踏み台になり得るため、通常の更新サイクルの中で確実に潰しておくのが安全です。

よくある質問

Q. ネット越しに乗っ取られる脆弱性ですか。

いいえ。今回の2件は、攻撃する側がすでにそのパソコンにログインできることが前提です（ローカル攻撃）。インターネット越しにいきなり遠隔から侵入される類のものではありません。ただし、別の手口で先にPCへ入り込んだ攻撃者が、権限を一段引き上げるための踏み台として使う、という流れはあり得ます。

Q. SignalRGBを使っていなければ無関係ですか。

基本的には直接の対象ではありません。ただし、この脆弱なドライバは「正規の署名付き」であるため、攻撃者が自分のマルウェアに同梱して他人のPCへ持ち込み、悪用する（BYOVD）可能性があります。使っていない人も、Windowsの脆弱なドライバ遮断を有効にしておくと安心です。

Q. CVSS（危険度の数値）はいくつですか。

本稿時点で、NVDによるCVSSスコアはまだ割り当てられていません（解析中）。数値は未確定ですが、JVNとCERT/CCの双方が注意喚起しており、権限昇格やBYOVDに使える性質を踏まえると、修正版への更新は後回しにすべきではありません。

Q. なぜRGBを光らせるソフトがカーネルドライバを入れるのですか。

色や回転数を制御するにはハードウェアへ直接アクセスする必要があり、それは通常のアプリには許されていないためです。多くのRGB・ファン制御ソフトは、OSの最深部で動くカーネルドライバを介してハードウェアに触れます。便利な反面、そこに穴があるとOSの一番強い場所が危険にさらされる、という構造的なリスクを抱えています。

まとめ

SignalRGBのカーネルドライバに、誰でも特権操作に手が届くアクセス制御の不備（CVE-2026-8049）と、PCを強制終了させられるNULLポインタ参照（CVE-2026-8050）の2件が見つかりました。攻撃にはそのPCへのログインが必要なローカルの欠陥ですが、一般利用者からカーネル権限への昇格に使え、さらに「正規の署名付きドライバ」ゆえにSignalRGBを使っていない他人のPCへ持ち込んで悪用するBYOVDの材料にもなり得ます。

開発元のWhirlwindFXは修正版1.3.6／1.3.7.0を提供済みです。使っている人は最新版へ更新し、もう使っていない人は古いドライバが残っていないかを確認、組織でPCを管理している人は管理者権限の絞り込みと脆弱なドライバの遮断を効かせてください。光らせるだけのソフトであっても、OSの最深部に部品を一つ預けている以上、その鍵のかけ方は自分のPCの安全に直結します。WinRing0からの置き換えという正しい一歩の途中で出た穴だからこそ、確実に塞いでおく価値があります。