フォローする 
7-ZipのCVE-2026-48095は、悪意のあるアーカイブ処理とユーザーによる悪用に関する新たな懸念を引き起こしました。GitHub Security Labによると、この欠陥は7-ZipのNTFSアーカイブハンドラにおけるヒープバッファー書き込みオーバーフローであり、バージョン26.00に影響し、任意コードの実行やアプリケーションのクラッシュにつながる可能性があります。この問題は、2026年4月27日にリリースされた7-Zip 26.01で修正されました。
このバグは特に危険です。なぜなら、欠陥のあるハンドラに到達するために専用のNTFSファイル拡張子を使用する必要がないからです。公開報告では、7-Zipの署名ベースのフォールバックロジックが、他のハンドラが失敗した後に、.7z、.zip、または.rarのような拡張子を持つ細工されたファイルをNTFSパーサーにルートする可能性があるとされ、フィッシングやソーシャルエンジニアリング配信の実質的な攻撃面を広げます。
防御側にとって、CVE-2026-48095の最も重要な詳細は、影響を受けるバージョン、アーカイブ解析のトリガー、および公開されているエクスプロイト資料の存在です。GitHub Security Labによると、研究者のJaroslav Lobačevskiが2026年4月24日にこの問題を秘密裏に報告し、その後の公開レポートでは、アドバイザリと共にPythonジェネレータの動作例がリリースされたことが確認されました。
CVE-2026-48095分析
技術的なレベルでは、この欠陥は、CInStream::GetCuSize()内のNTFS圧縮ストリームバッファーのアンダーアロケーションバグに起因しています。GitHub Security Labは、細工されたNTFSイメージがバッファーサイズの計算に使用されるシフト式に32の指数を強制的に適用でき、それがC++での未定義の動作を引き起こし、_inBufがたった1バイトとして割り当てられることを説明しています。次の読み取り操作は、その小さなバッファーに攻撃者が制御するデータを書き込み、典型的なヒープオーバーフロー状態を作り出します。
このオーバーフローは、隣接するヒープレイアウトが攻撃者にストリームオブジェクトのvtableポインターを改ざんすることを許すため、悪用可能になります。公共の分析では、最初の読み取り操作がわずか数百バイトの後にvtableを書き換えることができ、2回目の読み取りで改ざんされたポインターを介して実行が行われるとし、好条件でのコード実行が可能になると述べています。Security OnlineとCyber Pressは、この状態を任意コード実行への進路と説明し、また、メモリが少ないシステムではサービス拒否結果を引き起こす可能性があると指摘しています。
公開されているCVE-2026-48095のPoCは、リスクプロファイルをさらに高めます。Security Onlineによれば、研究者はフラグを引き起こすように設計された稀薄なNTFSイメージを生成するPythonスクリプトgen_ntfs_sparse.pyをリリースしました。実際のところ、CVE-2026-48095のペイロードは、実行可能ファイルのドロップではなく、特に作成されたアーカイブイメージであり、被害者が一見無害な圧縮ファイルを開くように誘導されるという一般的なソーシャルエンジニアリングのシナリオに適合しています。
運用の観点から見ると、CVE-2026-48095は、ユーザーが信頼できないアーカイブファイルを脆弱な7-Zipビルドで開くシステムに影響を及ぼします。協調アドバイザリでは特に26.00をテストしており、のちの報告で影響を受けるサイズロジックがそのリリース以前に存在していることを示唆し、このバグがテストされたバージョンのみならず長期間存在している可能性を示しています。
CVE-2026-48095の緩和策
主な対応策は、すぐに7-Zip 26.01以上にアップグレードすることです。GitHub Security Labの開示タイムラインによると、修正は2026年4月27日に出荷され、7-Zipの公式履歴はバグ修正を伴うバージョン26.01がその日にリリースされたことを確認しています。
実用的なCVE-2026-48095の検出のために、組織は7-Zip 26.00を実行しているエンドポイントを特定し、ユーザーが外部ソースのアーカイブを頻繁に展開する環境を確認し、メールトリアージ、ダウンロード、マルウェア分析、または圧縮ファイルの管理に使用されるシステムを優先する必要があります。エクスプロイトの経路がファイル駆動であるため、最も有効な第一歩はネットワークハンティングではなく資産とバージョンの検証です。
引用された資料には、ベンダーが公開したCVE-2026-48095のIOCが存在しないため、CVE-2026-48095を検出しようとしているチームは、怪しいアーカイブオープンアクティビティ、NTFSに似たコンテンツを伴う7-Zipのクラッシュ、そして偽装されたアーカイブ拡張子が脆弱なハンドラーに到達し得るユーザーのワークフローに注目する必要があります。より強力なテレメトリーがない場合、パッチとユーザーの注意が最も信頼できる防御策です。
FAQ
CVE-2026-48095とは何か、それはどのように機能するのか?
それは、7-ZipのNTFSアーカイブハンドラにおけるヒープバッファー書き込みオーバーフローです。細工されたNTFSイメージはバッファーサイズ計算における未定義の動作を引き起こし、プログラムが少なすぎるメモリを割り当て、その後でアーカイブ処理中に隣接するヒープデータを上書きします。
CVE-2026-48095はいつ初めて発見されたのか?
GitHub Security Labによれば、この問題は2026年4月24日に秘密裏に報告され、修正版7-Zip 26.01が2026年4月27日に出荷されました。公開アドバイザリは2026年5月22日に公表されました。
CVE-2026-48095のシステムへの影響は何か?
最も深刻な影響は、vtableハイジャックによる任意コード実行の可能性です。プラットフォームとメモリ条件によって、欠陥はアプリケーションのクラッシュやサービス拒否を引き起こすこともあります。
CVE-2026-48095は2026年に私にまだ影響する可能性がありますか?
はい。システムは、脆弱な7-Zipビルドを実行し、攻撃者が制御するアーカイブファイルを開くと、2026年にもなお危険にさらされる可能性があります。電子メールやダウンロード、または外部提出ファイルを定期的に解凍する環境では、リスクが高いです。
CVE-2026-48095からどのようにして自分を守ることができるか?
7-Zip 26.01以上にアップデートし、古いアーカイブツールの使用を減らし、信頼できないソースからの予期しないアーカイブを、共通のファイル拡張子を使用しているように見えても、潜在的に悪意があるものとして扱います。
