米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2026年2月20日、Roundcubeウェブメールソフトウェアに影響する2件のセキュリティ脆弱性を、既知の悪用脆弱性(KEV)カタログに追加しました。いずれも実際の攻撃で悪用されている証拠が確認されており、Roundcubeを利用している組織は早急な対応が求められています。Roundcubeはオープンソースのウェブメールクライアントとして広く利用されており、過去にもAPT28やWinter Vivernといった国家支援型の脅威アクターに悪用された実績があります。
この記事のポイント
- CISAがRoundcubeの脆弱性2件(CVE-2025-49113、CVE-2025-68461)をKEVカタログに追加
- CVE-2025-49113はCVSSスコア9.9の致命的な脆弱性で、10年以上コードベースに潜伏していた
- 連邦民間行政機関は2026年3月13日までに修正を完了する必要がある
CVE-2025-49113:10年潜伏したリモートコード実行の脆弱性
1件目の脆弱性CVE-2025-49113は、CVSSスコア9.9(Critical)という極めて深刻な評価を受けています。この脆弱性は「信頼されていないデータのデシリアライゼーション」に分類され、認証されたユーザーが任意のコードをリモートで実行できてしまうものです。具体的には、upload.phpファイル内の_fromパラメータがURLにおいて適切に検証されていないことが原因です。
特筆すべきは、この脆弱性がコードベースに10年以上にわたって存在していたという点です。しかもデフォルトインストールの状態で確実に発動させることが可能であり、特別な設定変更なく攻撃が成立します。ドバイに拠点を置くサイバーセキュリティ企業FearsOffのCEO、Kirill Firsov氏によって発見・報告され、2025年6月に修正パッチがリリースされました。しかし、公開からわずか48時間以内に攻撃者がこの脆弱性を武器化し、2025年6月4日にはエクスプロイトコードが販売されていたことが確認されています。
CVE-2025-68461:SVGを悪用したクロスサイトスクリプティング
2件目の脆弱性CVE-2025-68461は、CVSSスコア7.2(High)のクロスサイトスクリプティング(XSS)脆弱性です。SVGドキュメント内のanimateタグを通じて悪用が可能であり、攻撃者はこれを利用してユーザーのブラウザ上で悪意のあるスクリプトを実行できます。この脆弱性は2025年12月に修正されています。
XSS脆弱性はリモートコード実行と比較すると深刻度は低いものの、ウェブメールの文脈では非常に危険です。メールの閲覧だけでスクリプトが実行される可能性があり、セッションの乗っ取り、メールの盗み読み、さらにはフィッシング攻撃の踏み台として利用される恐れがあります。
国家支援型アクターによる過去の悪用歴
Roundcubeの脆弱性は以前から国家支援型の脅威アクターに狙われてきました。ロシアの軍事情報機関に関連するAPT28(別名Fancy Bear)や、ベラルーシに関連するとされるWinter Vivernなどが、過去にRoundcubeの脆弱性を武器化して諜報活動に利用しています。このような背景から、今回の脆弱性も同様の脅威アクターに悪用されるリスクが高いと考えられます。
対応期限と推奨される対策
CISAは連邦民間行政機関(FCEB)に対し、2026年3月13日までにこれらの脆弱性を修正するよう求めています。ただし、この期限は連邦機関に限った話であり、Roundcubeを利用するすべての組織が速やかにパッチを適用すべきです。
特にCVE-2025-49113については、デフォルトインストール環境で発動可能であること、エクスプロイトコードがすでに流通していること、そして国家支援型アクターによる悪用リスクが高いことから、最優先での対応が推奨されます。
知っておくと便利なTips
- KEVカタログはCISAが公開している「実際に悪用が確認された脆弱性」のリストであり、脆弱性の優先度判断に非常に有用です
- Roundcubeを自前でホスティングしている場合、定期的なバージョン確認と即座のパッチ適用が最も効果的な防御策です
- デシリアライゼーション脆弱性は入力検証の不備から生じることが多く、アップロード機能やパラメータ処理の設計時には特に注意が必要です
- SVGファイルはXSSの攻撃ベクトルとして頻繁に悪用されるため、メールクライアントやCMSでのSVG表示にはサニタイズ処理が不可欠です
まとめ
今回CISAがKEVカタログに追加したRoundcubeの2件の脆弱性は、いずれも実際の攻撃で悪用が確認されている深刻な問題です。特にCVE-2025-49113は10年以上もコードベースに潜伏し、公開後わずか48時間で武器化されたという点で、脆弱性管理の難しさとパッチ適用の迅速さの重要性を改めて浮き彫りにしています。Roundcubeを運用している組織は、直ちに最新バージョンへのアップデートを実施し、自組織の環境が影響を受けていないか確認することが強く推奨されます。セキュリティは後手に回ると被害が拡大するため、KEVカタログのような情報源を定期的にチェックし、先手の対応を心がけましょう。
📎 元記事: https://thehackernews.com/2026/02/cisa-adds-two-actively-exploited.html
コメント