Windowsで圧縮ファイルを開く時に、7-Zipを使っている人は少なくありません。
一方で、7-Zipに脆弱性情報が出た時は、「自分のPCは対象なのか」「すぐ更新した方がよいのか」「会社PCでは勝手に更新してよいのか」を分けて確認する必要があります。
この記事では、7-ZipにCVE-2026-48095の脆弱性情報が出た時に、Windowsユーザーが確認したいポイントを整理します。
結論:まず7-Zipの有無・バージョン・入手元を確認する
7-Zipの脆弱性情報を見た時に、最初に確認したいのは次の3点です。
| 確認項目 | 見る理由 |
|---|---|
| 7-Zipを使っているか | PCにインストールされているか、別ソフトを使っているかを確認するため |
| 7-Zipのバージョン | 対象バージョンに該当するか確認するため |
| どこから入れたか | 公式サイト、管理者配布、同梱ソフトなどで更新方法が変わるため |
個人PCであれば、7-Zip公式サイトから最新版を確認する流れになります。会社PC、学校PC、業務PCでは、勝手に更新せず、管理者や情シス部門の方針を確認してください。
脆弱性情報を見た直後に、非公式の修復ツールやドライバー更新ソフトを使う必要はありません。まずは、現在のバージョンと公式情報を確認します。
CVE-2026-48095とは
CVE-2026-48095は、7-ZipのNTFSアーカイブ処理に関する脆弱性として案内されています。
7-Zip公式の履歴では、7-Zip 26.01でCVE-2026-48095が修正されたと案内されています。GitHub Security Labのアドバイザリでは、7-Zip v26.00で確認されたヒープバッファオーバーフローとして説明され、任意コード実行やアプリケーションのクラッシュにつながる可能性があるとされています。
| 項目 | 確認内容 |
|---|---|
| CVE | CVE-2026-48095 |
| 関連アドバイザリ | GHSL-2026-140 |
| 確認された対象 | 7-Zip v26.00 |
| 修正済みバージョン | 7-Zip 26.01 |
| 主な確認ポイント | 7-Zipの有無、バージョン、公式更新、不審な圧縮ファイル |
この記事では、攻撃手順や再現方法ではなく、一般ユーザーが安全に確認するための流れに絞ります。
1. 7-Zipが入っているか確認する
まず、自分のPCに7-Zipが入っているか確認します。
- スタートメニューで「7-Zip」と検索する
- アプリ一覧に「7-Zip File Manager」があるか確認する
- 設定アプリの「インストールされているアプリ」で7-Zipを探す
- 右クリックメニューに7-Zip関連の項目が出るか確認する
- 会社PCの場合は、管理者が配布しているソフト一覧を確認する
Windows標準の圧縮・展開機能だけを使っている場合や、別の解凍ソフトを使っている場合は、7-Zip自体が入っていないこともあります。
ただし、ツールやアプリの一部として7-Zip系の実行ファイルやDLLが同梱されている場合もあります。業務PCでは、個人判断ではなく管理者確認が安全です。
2. 7-Zipのバージョンを確認する
7-Zipが入っている場合は、現在のバージョンを確認します。
- 7-Zip File Managerを開く
- 上部メニューの「ヘルプ」を開く
- 「7-Zipについて」を確認する
- 表示されたバージョン番号を確認する
今回の確認では、7-Zip 26.01でCVE-2026-48095が修正されたと公式履歴に掲載されています。古いバージョンを使っている場合は、公式サイトから最新版を確認してください。
会社PCや学校PCでは、ユーザーが勝手にインストールや更新を行えないことがあります。その場合は、現在のバージョンを控えたうえで管理者へ確認します。
3. 公式サイトから最新版を確認する
7-Zipを更新する場合は、公式サイトから最新版を確認します。
- 検索結果の広告リンクや不明な配布サイトから入れない
- 「高速化」「自動修復」「ドライバー更新」をうたう別ツールを使わない
- 32bit / 64bit / ARM64など、自分のWindowsに合うものを確認する
- 古いインストーラーを保存している場合は、最新版か確認する
- 業務PCでは、管理者配布の更新を待つ
7-Zip公式ダウンロードページでは、Windows向けに7-Zip 26.01のインストーラーが案内されています。普段から古いインストーラーを使い回している場合は、最新の配布元を確認してください。
4. 不審な圧縮ファイルを不用意に開かない
7-Zipを更新するまでの間は、不審な圧縮ファイルを不用意に開かないことも重要です。
- 知らない相手から届いた添付ファイル
- 請求書、見積書、通知書を装った圧縮ファイル
- 拡張子が二重になっているファイル
- パスワード付きZIPで本文にパスワードが書かれているメール
- ダウンロード元が分からないアーカイブファイル
圧縮ファイルは、見た目だけでは安全か判断できません。送信元や内容に不安がある場合は、開く前に相手へ確認する、管理者へ相談する、別の安全な受け渡し方法を使うなどの対応を検討します。
5. 会社PC・学校PC・管理PCでは勝手に更新しない
会社や学校のPCでは、7-Zipが業務システムや管理ポリシーに組み込まれていることがあります。
| 環境 | 確認すること |
|---|---|
| 会社PC | 情シス、管理者、端末管理ツールの更新方針を確認 |
| 学校PC | 学校の管理者やサポート窓口へ確認 |
| 共有PC | 利用者ごとに勝手に更新せず、管理者へ確認 |
| サーバーや自動処理環境 | 7z.exeや7z.dllを使うバッチ、バックアップ、展開処理を確認 |
| 制作・検証用PC | 取得元、バージョン、更新後の動作確認を行う |
勝手に更新すると、業務で使っている自動処理や検証環境に影響が出ることがあります。業務PCでは、バージョン確認と管理者への連絡を優先してください。
6. 7-Zipを入れ直す前に確認したいこと
個人PCで7-Zipを更新する場合でも、次の点は確認しておくと安全です。
- 現在の7-Zipバージョン
- Windowsが32bit / 64bit / ARM64のどれか
- インストール先が標準の場所か
- ポータブル版や同梱版を別に使っていないか
- 業務ツールやバッチ処理が7z.exeを直接参照していないか
- 更新後に右クリックメニューや関連付けが変わっていないか
通常の個人利用では、公式インストーラーで更新するだけで済む場合が多いです。ただし、古いバージョンを別フォルダーに残している場合や、複数の7-Zip系ファイルを使っている場合は、どの7-Zipが実際に使われているか確認してください。
7. やらない方がよいこと
- 非公式サイトから7-Zip風のインストーラーを入れる
- 脆弱性修復ツール、PC修復ツール、ドライバー更新ソフトへ誘導されるまま入れる
- 攻撃手順やPoCを探して試す
- 会社PCで勝手にアンインストールや更新を行う
- すべての圧縮ファイルが危険だと決めつける
- 7-Zipを入れているだけで、すぐ被害を受けると断定する
- 更新後の動作確認をせず、業務ファイルの展開作業を続ける
脆弱性情報は、怖がるためではなく、対象かどうかを確認して必要な範囲で安全に対応するための情報です。
確認順のまとめ
| 順番 | 確認すること | 目的 |
|---|---|---|
| 1 | 7-Zipが入っているか確認する | 自分のPCが対象になり得るか見る |
| 2 | 7-Zipのバージョンを確認する | 古いバージョンか判断する |
| 3 | 7-Zip公式サイトを確認する | 最新版と正規の入手先を見る |
| 4 | 不審な圧縮ファイルを開かない | 更新前後のリスクを下げる |
| 5 | 会社PCでは管理者へ確認する | 管理ポリシーや業務影響を避ける |
| 6 | 更新後の動作を確認する | 右クリックメニューや展開処理の変化を見る |
| 7 | 同系情報が出た時の確認先を決める | 次回以降の対応を早くする |
関連して確認したい記事
- パソコンで「ウイルス感染しました」と警告音が出た時の確認ポイント|電話しない・画面を閉じる・再起動後に見ること
- NVIDIA GeForceドライバーのMay 2026セキュリティ更新を確認したい時のポイント|Windows向け脆弱性修正と更新前後の注意点
- Chromeの更新確認方法|147/148の見方とWindowsで安全に更新する手順
- Windows11 Windows10 右クリック > 送る > 圧縮 (zip 形式) フォルダー 復活方法
