EmoCheckにDLL読み込み脆弱性（CVE-2026-28704）、JPCERT/CCがツール配布を終了

概要

JPCERT/CCは2026年4月10日、同組織が提供するEmotet感染確認ツール「EmoCheck」にDLL読み込みに関する脆弱性（CVE-2026-28704、JVN#00263243）が存在することを公表した。CVSS v4.0の基本値は8.4、CVSS v3.0では7.8と評価されており、深刻度の高い脆弱性として分類される。影響を受けるのはEmoCheckのすべてのバージョンである。

あわせてJPCERT/CCは、Emotetの脅威が収束したことを理由にEmoCheckの配布を正式に終了し、現在も利用中のユーザーに対して直ちに使用を停止するよう呼びかけている。

脆弱性の技術的詳細

脆弱性の種類はファイル検索パスの制御不備（CWE-427）に分類される。EmoCheckはDLLを読み込む際の検索パスに問題があり、EmoCheckの実行ファイルと同じディレクトリに攻撃者が用意した悪意のあるDLLが配置されている場合、そのDLLを意図せず読み込んでしまう可能性がある。

攻撃が成立するシナリオは次のとおりだ。ユーザーが意図せず悪意のあるDLLをダウンロードし、EmoCheckの実行ファイルと同じディレクトリに配置された状態でEmoCheckを起動した場合、攻撃者はEmoCheckのプロセス権限で任意のコードを実行できる。本脆弱性はPowder Keg Technologies株式会社の島田凌氏によって報告された。

背景と対応

EmoCheckはEmotetマルウェアの感染確認を目的としてJPCERT/CCが開発・配布してきたツールである。Emotetは長期にわたり猛威を振るったが、近年は脅威が大幅に収束しており、JPCERT/CCはこのタイミングでツールの提供を終了する判断を下した。

対策としては「製品の使用を停止する」以外に有効な手段はなく、修正バージョンのリリース予定もない。JPCERT/CCは今後もインターネット上の脅威を低減するためのツールを公開していく予定であるとしている。EmoCheckを業務環境等で継続利用しているユーザーは、速やかに削除・使用停止の対応を取ることが強く推奨される。