CISAがRoundcubeの2件をKEVに追加——「認証済みRCE」と「SVG XSS」が現実の侵害に直結します

今日の深掘りポイント

• KEV入り＝実害確認の合図。メール基盤の欠陥は「認証情報」と「機密データ」が同居するため、横展開の踏み台として極めて危険です。
• 認証必須のRCEでも油断禁物。漏えい・使い回し・フィッシングで得た既存アカウントと組み合わされると、Webシェル常駐から横方向移動まで一直線です。
• SVG内XSSは「メールを表示するだけ」でセッション乗っ取りやアカウント操作を許す恐れがあり、対ユーザー攻撃とサーバ側侵害の橋渡しになり得ます。
• FCEBの期限（2026-03-13）より前倒しで適用を。パッチ適用が難しければ、SVGのブロック、CSP強化、HTMLプレビュー制限、WAF一時ルールで被害面を削るのが現実解です。
• インシデント兆候の洗い出しは「php-fpm／httpdからの子プロセス生成」「Roundcubeの一時ディレクトリ中のSVG」「異常な管理操作（フィルタ・フォワード変更）」の3点を即時確認します。

はじめに

メールはIDと情報の境界に横たわる、組織で最も“おいしい”場所です。そこにあるのは、認証トークン・リセットリンク・請求書・機微な会話の全てです。CISAがRoundcubeの2件（CVE-2025-49113／CVE-2025-68461）をKEVに追加したという事実は、「理屈上危ない」から「現実に抜かれている」へとフェーズが変わったことを意味します。政府機関に限らず、日本の民間企業のオンプレWebメールでも、攻撃者が再現しやすい土俵が整ってしまった、と読むべきです。

本稿では、表層の「危ない」から一歩踏み込み、なぜ今この2件が横展開に効くのか、どこから手を付ければ被害面を削れるのかを、現場目線で整理します。

深掘り詳細

事実関係（確認済み）

• 米CISAは、Roundcubeに影響する以下2件を「既知の悪用脆弱性（KEV）」に追加しています。
  • CVE-2025-49113：認証済みユーザーがトリガにできるデシリアライズ起点のRCE（CVSS 9.9想定）です。
  • CVE-2025-68461：SVGドキュメント内のアニメーション（animateタグ）を悪用するXSS（CVSS 7.2想定）です。
• いずれも「実際に悪用されている」ことを根拠にKEV入りしており、FCEB機関は2026年3月13日までの是正が求められています。日本の組織にとっても、事実上の緊急パッチ案件として扱うのが妥当です。
• 公開報道としてはThe Hacker Newsが当該追加を報じています。一次情報の総覧はCISAのKEVカタログをご参照ください。
  • 参考: CISA Adds Two Actively Exploited Roundcube Vulnerabilities to KEV (The Hacker News)
  • 公式カタログ: CISA Known Exploited Vulnerabilities Catalog

注記：具体的な修正バージョンやパッチ配布時期の細部は、公式アドバイザリや配布チャネルを直接確認のうえ運用に反映するのが安全です。

編集部の視点（なぜ今クリティカルか）

• 「認証が要るから深刻度は低い」は誤解です。現実の攻撃は、侵害済みメールアカウント（漏えい・フィッシング・スプレーで取得）と、脆弱性を冷徹に合成します。RCE到達後はWebシェル常駐、MTA/IMAPへの踏破、アドレス帳悪用の内部拡散まで、標準手筋が通ります。攻撃者にとっては「よくある素材で作る王道レシピ」です。
• SVG XSSはユーザーがメールを閲覧した瞬間が勝負です。XSSでセッションやCSRFトークンを奪取し、フィルタ設定の改変（転送・自動削除）や、別の脆弱機能のトリガへと“クリックレス”で進ませられます。UIの一枚内側に侵入できる点が厄介です。
• 重大度・即応性・実用性がそろっています。新規性は中程度でも、悪用ハードルの低さと、侵害後の展開速度の速さが組織リスクを押し上げています。KEV入りは「すでに使われている」ことの外形証拠であり、監視・パッチ・是正の優先順位を一段引き上げる判断材料になります。

脅威シナリオと影響

ここからは仮説を含む攻撃シナリオを、MITRE ATT&CKの観点で分解します。実案件ではログとアーティファクトで裏取りしてください。

• シナリオA：盗取済みメールアカウント × 認証必須RCEの合成

  • 初期アクセス
    • T1078 Valid Accounts（既存のメール資格情報を用いたログイン）です。
    • T1190 Exploit Public-Facing Application（RoundcubeのRCEトリガ）です。
  • 実行・持続化
    • T1059 Command and Scripting Interpreter（php-fpm/httpd経由のシェル実行）です。
    • T1505.003 Server Software Component: Web Shell（Webシェル設置）です。
    • T1053（Cron等のジョブ作成による再起動耐性）です。
  • 権限昇格・防御回避
    • T1068 Exploitation for Privilege Escalation（カーネル/ローカル昇格の二撃）です。
    • T1070 Indicator Removal（ログ改ざん・削除）です。
  • 偵察・横展開・収集
    • T1046 Network Service Discovery（IMAP/SMTP/LDAP探索）です。
    • T1210 Exploitation of Remote Services（隣接サーバ侵害）です。
    • T1114.002 Remote Email Collection（サーバ側のメール収集）です。
  • 流出
    • T1041 Exfiltration Over C2 Channel / Application Layer（HTTPS経由の持ち出し）です。
  • 監視ポイント（例）
    • php-fpm/apacheからの子プロセス生成（/bin/sh, curl, wget, nc, bash -c）です。
    • Webルート直下や一時ディレクトリに不審なPHP/PL/SHが生成される動きです。
    • IMAP/SMTPへの急増アクセス、転送設定の変更イベントです。

• シナリオB：悪性SVG経由のXSSでアカウント奪取・設定改変

  • 初期アクセス
    • T1566.001 Spearphishing Attachment（SVG添付）またはT1566.002（リンク誘導）です。
  • 実行・資格情報アクセス
    • ブラウザ内XSSでセッションハイジャック、CSRF誘発です。
    • Roundcubeの設定変更APIを悪用し、転送・フィルタ・署名・外部アドレス帳連携を改変します。
  • 継続的な情報流出
    • 自動転送や隠しフィルタで静かに横取り（T1114系）です。
  • 監視ポイント（例）
    • 特定ユーザーのみの転送設定追加、条件の巧妙なフィルタ（全件・正規表現）です。
    • 短時間でのセッション再利用やCookie異常（新UA/新IPで同セッション）です。
    • 一時ディレクトリやメールストアにおけるimage/svg+xmlの増加・再送要求です。

セキュリティ担当者のアクション

優先度順・即日対応想定でまとめます。パッチが最優先ですが、やむを得ず時間を要する場合の一時対策も併記します。

1. 資産の特定と是正計画の固定化（Day 0）

• すべてのRoundcube実装（本番・DR・検証・委託/運用ベンダ配下）を棚卸しし、インターネット公開可否、バージョン、プラグイン、背後のMTA/IMAP構成を1枚に可視化します。
• FCEB期限（2026-03-13）を上限に、より前倒しの社内デッドラインを設定します。CAB稟議は「KEV入り・悪用確認」を根拠に迅速化します。

2. パッチ適用と設定ハードニング

• ベンダ公式の修正バージョンへアップグレードします（テンプレート・プラグイン互換に注意し、差分適用手順を文書化します）。
• 一時対策として以下を検討します。
  • メール閲覧時のHTMLプレビューを既定でテキスト優先に変更します（ユーザーの上書き禁止）です。
  • 添付のimage/svg+xmlをMTA/プロキシ/WAFでブロックまたは無害化します。
  • レスポンスに強固なCSPを適用します（script-src 'self'; object-src 'none'; base-uri 'none'; frame-ancestors 'none' など。互換性テスト必須）です。
  • Roundcube実行ホストのPHPで不要な危険関数（exec/system/shell_exec/passthru/proc_open/popen等）をdisable_functionsで抑止します（アプリ互換・運用手順の影響を必ず検証）です。
  • 管理者UI・プラグイン管理の外部到達性を遮断し、IP制限/MFAを適用します。

3. アイデンティティの防御強化

• WebメールのMFA必須化、ログイン元制限（国・ASN・ゼロトラストNWからのみ）を適用します。
• パスワードスプレー対策（短時間多試行のブロック）、検知のしきい値とアラートを即時見直します。

4. 直近30～90日の侵害痕跡ハント（Forensicsライト）

• Web層
  • php-fpm/apacheの子プロセス生成・外向き接続（curl/wget/nc）をプロセス監視やEDRで抽出します。
  • Webルート・Roundcubeのtempディレクトリ（例: /var/lib/roundcube/temp など）の新規/更新ファイル（*.php, *.phtml, *.phar, *.svg）を列挙します。
  • WAF/アクセスログで、multipartリクエストにおけるimage/svg+xmlの増加、<animate や onload 等の属性を含むパターンを検索します。
• アプリ層
  • Roundcube設定の差分監査（フィルタ/転送/署名/外部送信ドメインの追加）と、管理者操作の監査トレイルを確認します。
  • ユーザー毎のセッション継続時間の異常、地理的に乖離した同時接続を抽出します。
• メール層
  • 特定送信者・主題を持つSVG添付の横断検索（MIME: image/svg+xml）を実施します。
  • 転送設定の網羅的ダンプと、不審な外部ドメイン（無料プロバイダ含む）の洗い出しを行います。

5. 侵害対応（兆候ありの場合）

• 影響ホスト隔離、Webシェル・不審スクリプトの除去、資格情報の無効化（アプリ内トークン含む）を優先します。
• メールボックスの転送・フィルタを初期化し、影響ユーザーへ周知・再教育を行います。
• 横展開の可能性に備え、同一セグメント内の他サービス（認証基盤、ファイル共有、チケット/ERP）に対する認証失敗/成功のスパイクを相関確認します。

6. 継続的対策（パッチ後も継続）

• Roundcube/プラグインの更新監視を自動化し（RSS/署名版通知等）、KEV入りベースの優先度付け運用を標準化します。
• HTMLサニタイザの許可リスト運用（SVG非許可/危険属性の削除）、CSPレポートモードでの継続監視を定着させます。
• メール基盤をゼロトラストの「保護対象資産」として扱い、ID保護・データ保護・エンドポイント保護の三位一体で防御を組みます。

―― 総合的に見ると、この案件は「即応可能で、かつ優先度が高い」タイプです。認証が絡むRCEと、ユーザー表示で発火し得るXSSという、攻撃者にとって使い勝手の良い2本柱が揃っています。パッチと一時対策で被害面を短期に圧縮し、同時にアイデンティティとアプリの監査で痕跡を詰める。ここを“1スプリントでやり切る”ことが、次の侵害を未然に断つ一番の近道です。

参考情報

• CISA Known Exploited Vulnerabilities Catalog（公式）: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• The Hacker News: CISA Adds Two Actively Exploited Roundcube Vulnerabilities to KEV
• MITRE ATT&CK（各テクニックの参照）
  • T1190 Exploit Public-Facing Application: https://attack.mitre.org/techniques/T1190/
  • T1078 Valid Accounts: https://attack.mitre.org/techniques/T1078/
  • T1059 Command and Scripting Interpreter: https://attack.mitre.org/techniques/T1059/
  • T1505.003 Server Software Component: Web Shell: https://attack.mitre.org/techniques/T1505/003/
  • T1566.001 Spearphishing Attachment: https://attack.mitre.org/techniques/T1566/001/
  • T1114.002 Remote Email Collection: https://attack.mitre.org/techniques/T1114/002/
  • T1041 Exfiltration Over C2/Application Layer: https://attack.mitre.org/techniques/T1041/
  • T1210 Exploitation of Remote Services: https://attack.mitre.org/techniques/T1210/