WinRAR 7.23が、2026年6月30日に公開されました。
RARLAB公式リリースノートによると、今回の更新では、RAR5 recovery volumeのデータ再構築処理におけるヒープオーバーフローと、展開先フォルダーの外部を指すシンボリックリンクに関する問題が修正されています。
WinRARに組み込まれている7z展開ライブラリの7zxa.dllも、7-Zip 26.02相当へ更新されました。
結論から言うと、WinRARを利用している場合は現在のバージョンを確認し、RARLAB公式サイトで提供されているWinRAR 7.23への更新を検討してください。
今回の公式情報に記載されていないCVE番号や、悪用確認済み、ゼロデイ、すべての環境で任意コード実行が成立するといった内容は断定できません。
WinRAR 7.23の更新内容
| 更新項目 | 対象・内容 |
|---|---|
| RAR5 recovery volume | データ再構築処理のheap overflowを修正 |
| heap overflowの対象 | WinRAR、RAR、UnRAR |
| UnRAR.dll | recovery volume処理を含まないため、heap overflowの対象外 |
| symbolic link | 展開先フォルダー外部を指すリンクが作成される問題を修正 |
| symbolic link問題の対象 | WinRAR、RAR、UnRAR、UnRAR.dll |
| 7z展開ライブラリ | 7zxa.dllを7-Zip 26.02相当へ更新 |
| 公開日 | 2026年6月30日 |

今回の更新は、通常の機能追加だけではなく、圧縮ファイルの展開処理に関係するセキュリティ更新です。
RAR5 recovery volumeのヒープオーバーフロー
1件目は、RAR5形式のrecovery volumeからデータを再構築する処理に含まれていたヒープオーバーフローです。
RARLAB公式では、この問題が次のコンポーネントへ影響すると説明しています。
- WinRAR
- コマンドライン版RAR
- コマンドライン版UnRAR
一方、UnRAR.dllにはrecovery volumeの処理が含まれていないため、このヒープオーバーフローの対象外です。
すべてのRARファイルを通常どおり展開しただけで同じ問題が発生するとは限りません。RAR5 recovery volumeを利用する処理に関係する修正として、対象範囲を限定して理解する必要があります。
展開先外部を指すシンボリックリンクの問題
2件目は、細工されたRARファイルを展開した際に、展開先フォルダーの外部を指すシンボリックリンクが作成される可能性があった問題です。
この問題は、シンボリックリンクの処理を明示的に許可する-olaスイッチを指定していない場合でも発生する可能性がありました。
対象として案内されているのは次のコンポーネントです。
- WinRAR
- RAR
- UnRAR
- UnRAR.dll
WinRAR 7.23では展開処理へ追加の確認が入り、WinRAR、RAR、UnRAR自身がそのリンク先へファイルを配置する経路を防ぐよう修正されています。
RARLABは、修正後に残る可能性を、別のツールが作成済みのシンボリックリンクを利用してファイルを保存する場合に限定して説明しています。
7zxa.dllが7-Zip 26.02相当へ更新
WinRARはRARやZIPだけでなく、7z形式の展開にも対応しています。
WinRAR 7.23では、7z形式の展開に利用する7zxa.dllが7-Zip 26.02相当へ更新され、ライブラリ開発元による不具合と脆弱性の修正が取り込まれました。
これは、パソコンへ別途インストールしている7-Zip本体が自動的に更新されるという意味ではありません。
WinRARと7-Zipの両方を利用している場合は、それぞれのバージョンと公式更新情報を個別に確認してください。
現在のWinRARバージョンを確認する
WinRARを起動し、メニューの「ヘルプ」から「WinRARについて」を開くと、インストールされているバージョンを確認できます。
表示されるバージョンが7.22以前の場合は、WinRAR 7.23への更新を検討します。
複数のパソコンを管理している場合は、デスクトップのショートカットだけで判断せず、実際に起動してバージョンを確認してください。
RARLAB公式サイトから更新する
WinRARの更新ファイルは、RARLAB公式ダウンロードページから取得します。
公式ページでは、日本語版WinRAR 7.23の64bit版が提供されています。利用中の言語と環境に対応するファイルであることを確認してください。
- RARLAB公式サイトであることを確認する
- 表示されているバージョンが7.23であることを確認する
- 利用する言語とOS、アーキテクチャを確認する
- 開いている圧縮ファイルや作業中の処理を終了する
- 更新後にもう一度バージョンを確認する
検索広告や非公式ダウンロードサイトに表示された「WinRAR更新」「セキュリティ修復」といったボタンから、更新ファイルを取得しないでください。
会社や学校の管理対象PCでは、自分で更新せず、IT管理者やシステム管理者の更新方針を確認します。
UnRAR.dllを組み込んだソフトも確認する
自分でWinRARを起動していなくても、別のソフトウェアがRARファイルの展開にUnRAR.dllを利用している場合があります。
この場合、WinRAR本体を更新しても、別ソフトに同梱されたUnRAR.dllまで置き換わるとは限りません。
- RARファイルを扱う業務ソフト
- バックアップやファイル管理ツール
- 独自に作成した社内ツール
- サーバー上で動作する展開処理
組み込み利用が疑われる場合は、利用しているソフトウェアの開発元や管理者へ、WinRAR 7.23相当の修正が反映されるか確認してください。
不審な圧縮ファイルを安易に開かない
WinRARを7.23へ更新した後も、送信元や用途が分からない圧縮ファイルを安易に開かないことが重要です。
- 予期していないメールやダイレクトメッセージの添付ファイル
- 送信元を確認できないRAR、ZIP、7zファイル
- 本文と添付ファイルの用途が一致しないもの
- 文書に見せかけた二重拡張子のファイル
- パスワードだけが別メッセージで送られてきた圧縮ファイル
- 自己解凍形式の実行ファイル
自己解凍形式は拡張子が.exeの実行ファイルです。通常の文書や画像として扱わず、入手元と実行する必要性を確認してください。
取引先や社内の担当者から届いたように見える場合も、いつもの連絡先へ別経路で確認してから開きます。
WinRAR 7.23更新チェックリスト
- 現在のWinRARバージョンを確認したか
- WinRAR 7.23へ更新したか
- RARLAB公式サイトから取得したか
- 更新後にバージョンを再確認したか
- コマンドライン版RARやUnRARの利用有無を確認したか
- UnRAR.dllを組み込んだソフトがないか確認したか
- 7-Zip本体のバージョンを別途確認したか
- 管理対象PCでは管理者へ確認したか
- 不審な圧縮ファイルを開かない運用を確認したか
既存の7-Zip記事との役割分担
kobewing.comでは、7-Zip本体の脆弱性情報についても確認ポイントを整理しています。
7-Zipに脆弱性情報が出た時の確認ポイント|CVE-2026-48095・対象バージョン・最新版更新を確認
今回の記事は、WinRAR 7.23で修正されたRAR5 recovery volume、シンボリックリンク、WinRAR内の7z展開ライブラリに焦点を当てています。
パソコンへ別途インストールしている7-Zip本体の更新は、既存記事と7-Zip公式情報を確認してください。
やってはいけない対応
- 公式情報にないCVE番号を推測する
- 悪用確認済みやゼロデイと断定する
- すべてのRARファイルで任意コード実行が成立すると説明する
- 細工した圧縮ファイルの作成方法を試す
- PoCや検証用アーカイブを一般PCで実行する
- 非公式な修復ツールや更新ツールを導入する
- 管理対象PCを管理者に無断で更新する
まとめ
WinRAR 7.23では、RAR5 recovery volumeのデータ再構築処理におけるヒープオーバーフローと、展開先外部を指すシンボリックリンクの問題が修正されました。
7z形式の展開に利用する7zxa.dllも、7-Zip 26.02相当へ更新されています。
WinRARを利用している場合は、現在のバージョンを確認し、RARLAB公式サイトからWinRAR 7.23へ更新してください。
更新後も、送信元が分からない圧縮ファイル、二重拡張子、自己解凍形式の実行ファイルを安易に開かず、会社PCでは管理者の方針を確認することが重要です。