【緊急警告】Roundcube脆弱性が実攻撃に悪用中——CISA緊急対応リスト入り
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が2026年2月20日、ウェブメールソフトウェア「Roundcube」の脆弱性2件が実際の攻撃で悪用されているとして緊急警告を発表しました。これらの脆弱性は「悪用が確認された脆弱性カタログ(KEV)」に追加され、米行政機関に対して指定期間内の対応が義務づけられています。
攻撃対象となった2つの脆弱性の詳細
今回KEVリストに追加されたのは「CVE-2025-49113」と「CVE-2025-68461」の2件です。
「CVE-2025-49113」は、PHPオブジェクトのデシリアライズ処理に起因する脆弱性で、MITREによってCVSSv3.1ベーススコア「9.9」、重要度「クリティカル(Critical)」と最高レベルの危険度に分類されています。当初「Roundcube 1.6.11」「同1.5.10」で修正されましたが、「同1.5.10」に不具合が判明し、最終的に「同1.5.11」で完全修正されました。
「CVE-2025-68461」は、クロスサイトスクリプティング(XSS)の脆弱性です。2025年12月にリリースされた「同1.6.12」「同1.5.12」で修正され、MITREでCVSS基本値「7.2」、重要度「高(High)」と評価されています。
最新版でも新たなセキュリティ修正を実施
さらに注意が必要なのは、2026年2月8日にリリースされた最新版「同1.6.13」「同1.5.13」においても、セキュリティに関する2件の修正が実施されていることです。CVE番号への言及はありませんでしたが、継続的なセキュリティ対応が行われている状況が伺えます。
組織が取るべき緊急対応
CISAのKEVリスト入りは、単なる脆弱性報告ではなく「実際に攻撃で悪用されている」ことを意味します。Roundcubeを利用している組織は、直ちに以下の対応を検討する必要があります。
まず、現在使用しているRoundcubeのバージョンを確認し、最新版への更新を最優先で実施してください。特に「CVE-2025-49113」はクリティカルレベルの脆弱性であり、悪用されると深刻な被害につながる可能性があります。
一般的に、ウェブメールシステムは機密情報の宝庫であり、攻撃者にとって格好の標的となります。組織内でのメール通信、取引先との連絡、重要文書の添付ファイルなど、業務に直結する情報が集約されているためです。
短期的影響:CISAによるKEVリスト追加は、これらの脆弱性が現在進行形で攻撃に悪用されていることを示しており、Roundcube利用組織には緊急のバージョン更新が求められます。特にCVSS9.9のクリティカル脆弱性は、放置すれば重大なセキュリティインシデントにつながるリスクが高い状況です。
中長期的影響:ウェブメールシステムへの攻撃は今後も継続的な脅威となることが予想されます。組織は単発の対応にとどまらず、定期的なセキュリティ更新プロセスの確立と、メールシステム全体のセキュリティ強化策の検討が必要です。また、攻撃手法の多様化に備えた多層防御の構築も重要になります。
読者への示唆:Roundcube利用組織は直ちにバージョン確認を行い、最新版への更新を実施してください。更新が困難な場合は、一時的なアクセス制限やネットワーク分離などの緊急措置を検討し、システム管理者との連携を強化することが重要です。
