チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Emotet対策でEmoCheckを入れたまま放置してるけど、大丈夫かな…」
「セキュリティツール自体に脆弱性があるって、どう対処すればいいの?」
チップスボス!EmoCheckに脆弱性が見つかったって聞いたんでしゅけど、うちの会社でもまだ入ってるPCがあるかもしれないでしゅ…!
ボスああ、JPCERT/CCが正式に配布終了と利用停止を発表した。放置しているだけでリスクになるから、今すぐ確認すべきだな。
Emotet対策として多くの組織で利用されてきたEmoCheckですが、2026年4月10日にJPCERT/CCが脆弱性の存在を公表し、配布終了と利用停止を呼びかけました。
セキュリティツール自体が攻撃の足がかりになり得るという、見落としがちなリスクです。
この記事では、脆弱性の具体的な内容と、組織として今すぐ取るべき対応について解説します。
2026年4月10日、JPCERT/CCはEmoCheckの脆弱性に関するプレスリリースを公開しました。
今回公表されたのは、DLLの検索パス制御不備(CWE-427)に起因する脆弱性です。
EmoCheckを実行する際、同じフォルダに細工されたDLLファイルが置かれていると、そのDLLを読み込んでしまいます。
結果として、攻撃者がEmoCheckの実行権限で任意のコードを動かせる状態になります。
深刻度の評価は以下の通りです。
| 評価基準 | スコア |
|---|---|
| CVSS 4.0 | 8.4(重要) |
| CVSS 3.0 | 7.8(重要) |
| CVE番号 | CVE-2026-28704 |
影響を受けるのはEmoCheckの全バージョンです。
つまり、どのバージョンを使っていても例外なくリスクがあります。
チップス全バージョンって…。うちの情シスで配ったやつも全部アウトでしゅか?
ボスそうだ。しかもJPCERT/CCは修正版を出す予定がない。配布自体をすでに終了しているからな。
通常であれば脆弱性が見つかれば修正パッチが出ますが、今回は異なる対応がとられています。
EmoCheckはEmotetの感染有無を確認するために開発された専用ツールです。
JPCERT/CCによれば「Emotetの脅威がなくなったため配布を終了」しており、修正版のリリース予定もありません。
役目を終えたツールに対して継続的なメンテナンスは行わない、という判断です。
では、端末にEmoCheckが残っている組織は何をすべきでしょうか。
ポイントは次の3つです。
DLL読み込みの脆弱性は、ツールが「存在しているだけ」で攻撃の土台になり得ます。
使っていないから安心、ではなく、残っていること自体がリスクだという認識が必要です。
チップス使ってなくても危ないんでしゅか!? ファイルがあるだけでダメなんて…
ボス攻撃者は使われていないツールほど狙いやすいんだ。放置されたファイルはメンテもされず、監視もされない。格好の標的だな。
EmoCheckは多くの組織のEmotet対策に貢献したツールですが、その役目は終わりました。
全バージョンにDLL読み込みの脆弱性(CVE-2026-28704)が存在し、修正パッチの提供予定もありません。
端末にファイルが残っているだけで、攻撃の踏み台にされるリスクがあります。
情シス担当の方は、まず自社の端末・共有フォルダにEmoCheckが残っていないか、今日中に確認してみてください。
参考:JVN#00263243 – EmoCheckにおけるDLL読み込みに関する脆弱性
参考:JPCERT/CC – EmoCheckの脆弱性およびEmoCheck配布終了のお知らせ
チップスすぐにIT資産管理で確認しなきゃでしゅ…。放置してたオイラが恥ずかしいでしゅ。
ボス気づいた時点で動けば十分だ。大事なのは「使わなくなったツールを残さない」という習慣だな。
