「WinRARって古いソフトだけど、まだ脆弱性が出るの?自動更新もないって知らなかった」
「.revファイルを開くだけでコード実行されるって、どうやって防げばいいの?」
WinRARってまだ使っている会社も多いでしゅが、また脆弱性でしゅか!しかも自動更新がないって初耳でしゅ……
WinRARは世界で5億人以上が利用する定番ツールだ。自動更新がないため、脆弱性が出てもユーザーが能動的に更新しない限り修正版は適用されない。これが長年の問題だ。
2026年7月、RARLAB社はWinRARの新たな脆弱性CVE-2026-14191を修正したバージョン7.23をリリースしました。
RAR5形式のリカバリボリューム(.revファイル)を処理する際にヒープ領域への境界外書き込みが発生し、リモートコード実行につながる可能性があります。
この記事では、脆弱性の仕組みと影響範囲、そして今すぐ取るべき対応を解説します。
- WinRAR 7.23がCVE-2026-14191を修正。細工された.revファイルを処理させるとヒープ領域の境界外書き込みが発生しRCEの可能性
- 攻撃にはユーザーが「アーカイブ修復」や「テスト」操作を実行する必要があり、悪意ある.revファイルセットをメールや共有で送りつけるシナリオが現実的
- WinRARには自動更新機能がないため、バージョン7.23への手動更新が必須
CVE-2026-14191の技術的な仕組みと、組織内のWinRAR管理で見落としがちな盲点が理解できます。
目次
CVE-2026-14191とは、WinRARのどこに潜む脆弱性か
CVE-2026-14191は、RAR5フォーマットのリカバリボリューム(.revファイル)を解析するコードに存在するCWE-787(境界外書き込み)です。
2023年に発見された類似脆弱性CVE-2023-40477と同じコードブロックに潜んでいたことも分かっており、過去の修正が不完全だったことを示しています。
.revファイル処理のバグがRCEにつながる仕組み
RAR5のリカバリボリューム(.rev)は、分割アーカイブの一部が欠損した際に修復に使うファイルです。
WinRARは最初の.revファイルを処理した際にRecItemsベクターのサイズを確定させます。
しかし、その後に処理する2枚目以降の.revファイルが持つRecNum値は、そのファイル自身のTotalCount値とは照合されるものの、実際のRecItemsのサイズとは比較されません。
この設計上の欠陥を利用すると、次の攻撃が可能になります。
- 攻撃者が2枚以上の細工した.revファイルセットを用意する
- ユーザーが「アーカイブの修復」やボリュームセットの展開操作を実行する
- WinRARが攻撃者制御の32ビット値を、確保した領域から最大65534 × RecVolItemサイズ分離れたアドレスに書き込む
- ヒープの隣接オブジェクトが破損し、悪意あるコードの実行が可能になる
攻撃を成立させるにはユーザーに修復・テスト操作を実行させる必要があります。
ただし、欠損した分割アーカイブを展開する際に自動リカバリが走る場合もあり、ユーザーが意図せず操作をトリガーするケースがあります。
2023年の類似脆弱性と自動更新なしという二重のリスク
同じコードに2度目の脆弱性が見つかったんでしゅか?以前のパッチが不完全だったってことでしゅか?
CVE-2023-40477と同じリカバリボリューム処理コードだ。完全な修正をしきれなかったか、修正が新たなバリエーションを生んだかのどちらかだ。ソフトウェアの特定コンポーネントに脆弱性が繰り返し発見されるのは珍しくない。問題は、WinRARが自動更新しないことで、ユーザー側に修正が届かないことだ。
WinRARには長年、自動更新機能が存在しません。
ChromeやWindowsと異なり、ユーザーが公式サイトからダウンロードして手動でインストールする必要があります。
このため、新しいバージョンが出ても旧バージョンを使い続けるユーザーが多く、脆弱性の影響が長期化しやすい構造になっています。
組織内のWinRAR管理とすぐに取るべき対応策
自動更新がないWinRARを組織で管理するには、能動的な対応が不可欠です。
IT担当者が今すぐ確認すべきポイントをまとめます。
バージョン確認から7.23への更新まで
対応の優先順位は以下のとおりです。
| 対応 | 方法・注意点 |
|---|
| バージョン確認 | WinRAR起動 → ヘルプ → バージョン情報で確認。7.22以前は対象 |
| 手動更新 | rarlab.com から WinRAR 7.23 をダウンロードしてインストール |
| 組織展開 | 資産管理ツールで旧バージョンを検出し、ソフトウェア配布で一括更新 |
| .revファイルの取り扱いポリシー | 外部からの.revファイルを開かないよう従業員に周知する |
自動更新なしのソフトウェアを組織で管理するコツ
WinRARみたいに自動更新がないソフトって他にもありそうでしゅが、どう管理すればいいんでしゅか?
資産管理ツールで「インストール済みソフトとバージョン」の棚卸しを定期実行することだ。脆弱性情報が出た際にすぐ影響範囲を把握できる。WinRARは特に日本で利用者が多いが、管理台帳から外れやすいツールでもある。
WinRARのような自動更新のないソフトウェアの管理には、以下の対応が有効です。
- 資産管理ツール(Lansweeper・SCCM等)でインストール済みWinRARのバージョンを定期棚卸しする
- JPCERT/CCやIPA、Security NEXTのRSSフィードを購読し、主要ツールの脆弱性情報を自動収集する
- 外部から受け取ったアーカイブファイル(特に.revファイル)はサンドボックスで検証する運用ルールを設ける
まとめ
CVE-2026-14191は、WinRARのRAR5リカバリボリューム処理に潜む境界外書き込み脆弱性です。
細工された.revファイルセットを処理させることでRCEが可能になり、修正版はバージョン7.23で提供されています。
社内のWinRARが何バージョンか今すぐ確認して、7.23に更新するでしゅ!
それが正解だ。自動更新のないソフトは、脆弱性情報が出た時だけ動くのでは遅い。定期的なバージョン棚卸しを仕組みとして持つことが、同種のリスクをまとめて減らす効率的な対策だ。
WinRARは世界5億人以上が利用する定番ツールだけに、攻撃者にとっても魅力的な標的です。
自動更新がない点を踏まえ、資産管理と脆弱性情報の連携を組織として仕組み化することが重要です。