サイバーセキュリティ📖 1分で読了

Roundcube脆弱性が48時間で武器化、今すぐ確認をCVSS 9.9のRCE、国家アクターも注目するWebメールの危機

Roundcube脆弱性が48時間で武器化、今すぐ確認を

CISAがRoundcube Webmailの2件の脆弱性をKEV追加。CVSS 9.9のRCEは公開48時間で武器化され、国家アクターAPT28も過去に悪用。中小企業が今すぐ取るべき対策を解説。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

Roundcube Webmailに深刻な脆弱性、CISAが緊急対応を要請

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が2026年2月20日、Roundcube Webmailの2件の脆弱性をKEV(Known Exploited Vulnerabilities)カタログに追加しました。特に深刻なのはCVSS 9.9と評価されたリモートコード実行(RCE)の脆弱性で、公開からわずか48時間で攻撃コードが作成されたとThe Hacker Newsが報じています。Roundcubeを利用している企業は、情報漏えいや事業停止、取引先からの信用失墜を防ぐため、即座にパッチ適用状況を確認する必要があります。

2件の脆弱性の詳細と攻撃の仕組み

今回KEVに追加された脆弱性は2件あります。1件目のCVE-2025-49113は、CVSS 9.9という極めて高い危険度を持つデシリアライゼーション脆弱性です。この脆弱性では、upload.phpの_fromパラメータが適切に検証されていないことを悪用し、認証済みユーザーがリモートでコードを実行できてしまいます。つまり、フィッシングメールなどで正規ユーザーのアカウントを乗っ取れば、そこからサーバー全体を掌握できる可能性があるということです。

2件目のCVE-2025-68461はCVSS 7.2のクロスサイトスクリプティング(XSS)脆弱性で、SVGドキュメント内のanimateタグを介して攻撃が可能です。こちらは2025年12月に修正されていますが、パッチ未適用の環境では依然として危険な状態が続いています。

特筆すべきは、CVE-2025-49113の脆弱性情報が公開されてからわずか48時間で、攻撃者がパッチのdiff(差分)を解析して攻撃コードを作成したという点です。セキュリティ研究者ドバイのFearsOff社CEO Kirill Firsov氏が発見したこの脆弱性は、パッチ公開と同時に攻撃者も対策情報を入手し、武器化までの時間が極端に短縮されている現実を示しています。

なぜRoundcubeが狙われるのか

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

Roundcubeはオープンソースのセルフホスト型Webメールクライアントとして、中小企業のWebメール環境やホスティングプロバイダー、一部のエンタープライズ環境で広く利用されています。自社でメールサーバーを運用している企業にとっては、コスト効率が良く柔軟性の高い選択肢として支持されてきました。

しかし、その普及度ゆえに国家レベルのサイバー攻撃グループからも標的にされています。ロシア関連とされるAPT28(Fancy Bear)や、ベラルーシ系のWinter Vivernといった高度な攻撃グループが、過去にRoundcubeのRCE脆弱性を悪用した攻撃キャンペーンを展開してきた実績があります。今回の脆弱性も同様のグループに悪用されるリスクが高いと考えられています。

KEVカタログへの追加は、すでに実際の攻撃で悪用されていることを意味します。連邦機関に対するパッチ適用期限は2026年3月13日に設定されていますが、民間企業においてもこの期限を目安に対応を完了させることが推奨されます。

自社で今すぐ確認すべきこと

まず、自社が影響を受けるかどうかを判断してください。影響を受ける可能性が高いのは、自社でメールサーバーを運用している企業、レンタルサーバーやVPSでRoundcubeを利用している企業、そしてホスティングサービス経由でWebメールを提供している企業です。これらに該当する場合は、以下の対応を速やかに実施してください。

自社環境でRoundcube Webmailを利用しているかどうかを棚卸しすることが最優先です。特に外部からアクセス可能なインスタンスは攻撃の標的になりやすいため、優先的に確認が必要です。社内システムの管理台帳を確認し、ホスティングサービスを利用している場合はプロバイダーへの問い合わせも検討してください。

該当するバージョンを使用している場合は即時パッチを適用してください。パッチ適用が難しい場合は、外部からのアクセスを一時的に制限するか、VPN経由でのみアクセス可能にするといった暫定対策を講じることが重要です。

さらに、メールサーバーが侵害された場合のインシデント対応計画を見直してください。メールは企業活動の中核を担うシステムであり、侵害時の影響範囲は広範囲に及びます。バックアップからの復旧手順、関係者への連絡体制、外部専門家との連携方法などを事前に整理しておくことで、万が一の際の被害を最小限に抑えられます。

認証済みユーザーからの攻撃という特性を踏まえ、フィッシング対策の強化も有効です。多要素認証の導入や、不審なログインを検知する仕組みの整備を進めましょう。

まとめ

Roundcube Webmailの脆弱性がCISA KEVに追加され、CVSS 9.9のRCE脆弱性は公開48時間で攻撃コードが作成されました。国家アクターによる過去の悪用実績もあり、パッチ未適用の環境は高いリスクにさらされています。自社環境の棚卸しと即時パッチ適用を推奨します。

脆弱性対応やインシデント対応計画の策定でお困りの際は、180社以上の支援実績を持つGXOにご相談ください。ご相談いただくことで、自社環境の影響範囲の整理、対応の優先順位付け、今後のセキュリティ体制強化の方向性が明確になります。セキュリティ診断からSOC運用まで、一気通貫でご支援いたします。

お問い合わせはこちら

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリChromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

Chromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

2026年2月17日 · 1分で読了

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了

同じカテゴリ【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

2026年1月13日 · 8分で読了