7-ZipにWindowsのMotWセキュリティ警告を回避する重大な脆弱性が発覚!早急にアップデートの適用を!

7-ZipにWindowsのMotWセキュリティ警告を回避する重大な脆弱性が発覚!早急にアップデートの適用を! Microsoft Tips
スポンサーリンク

日本でも利用者の多い圧縮解凍ソフト「7-Zip」に、Windowsの「Mark of the Web(MotW)」セキュリティ機能を回避し、悪意のあるファイルを解凍することで、ユーザーのコンピュータ上でコードを実行できる重大な脆弱性が存在することが発覚しました。

幸いなことに、7-Zipの開発者Igor Pavlov氏は2024年11月30日にリリースされたバージョン24.09でこの脆弱性を修正しています。しかし、7-Zipには自動更新機能がないため、多くのユーザーが依然として脆弱なバージョンを使用しており、脅威アクターがこれを悪用してマルウェアを感染させる可能性があります。

現在7-Zipを利用しているユーザーは、出来るだけ速やかに最新バージョンへアップデートしておきましょう。

圧縮・解凍ソフト 7-Zip
圧縮・解凍ソフト7-Zipは、7z、ZIP、RAR、LZH、ISO、TAR、DMG、MSIなど、さまざまなデータフォーマットに1つで対応している世界的にデファクトのフリーソフトウェアです。AES256による暗号化(パスワード圧縮および解凍)...
7-zip.opensource.jp

スポンサーリンク
スポンサーリンク

7-Zipは2022年6月、バージョン22.00からMotWのサポートを開始

7-Zipは2022年6月、バージョン22.00からMotWのサポートを開始しました。それ以降、ダウンロードしたアーカイブから解凍されたすべてのファイルに対し、自動的にMotWフラグ(特別な「Zone.Id」代替データストリーム)を追加しています。

このフラグは、オペレーティングシステムやウェブブラウザ、その他のアプリケーションに、ファイルが信頼できないソースから来た可能性があることを通知し、注意して扱うべきであることを示します。

その結果、7-Zipを使用して解凍したリスクのあるファイルをダブルクリックする際には、警告が表示され、それを開いたり実行したりすることが危険な行為となり得ることがユーザーに知らせられます。これには、デバイスにマルウェアをインストールする可能性が含まれます。

また、Microsoft OfficeもMotWフラグを確認し、検出された場合はドキュメントを「保護ビュー」で開きます。このモードでは、自動的に読み取り専用となり、すべてのマクロが無効化されます。

 

Trend Microが指摘したセキュリティ欠陥

しかし、Trend Microが週末に公開したアドバイザリによると、CVE-2025-0411として追跡されるセキュリティ欠陥により、これらのセキュリティ警告を回避し、ターゲットのPCで悪意のあるコードを実行することが可能になります。

「この脆弱性は、影響を受ける7-ZipのインストールにおいてMark-of-the-Web保護メカニズムを回避することを可能にします。この脆弱性を悪用するには、ターゲットが悪意のあるページを訪問するか、悪意のあるファイルを開く必要があります」とTrend Microは述べています。

「アーカイブファイルの処理に特定の欠陥があります。Mark-of-the-Webを持つ細工されたアーカイブからファイルを解凍する際、7-Zipは解凍されたファイルにMark-of-the-Webを引き継ぎません。この脆弱性を利用することで、攻撃者は現在のユーザーのコンテキストで任意のコードを実行することができます。」

 

開発者が迅速にパッチをリリース

幸いなことに、7-Zipの開発者Igor Pavlov氏は2024年11月30日にリリースされたバージョン24.09でこの脆弱性を修正しました。

Pavlov氏は、「7-Zipファイルマネージャは、ネストされたアーカイブ(別のアーカイブ内に開かれたアーカイブ)から解凍されたファイルにZone.Identifierストリームを引き継ぎませんでした」と述べています。

 

類似の欠陥がマルウェア攻撃に悪用されるケースも

7-Zipには自動更新機能がないため、多くのユーザーが依然として脆弱なバージョンを使用しており、脅威アクターがこれを悪用してマルウェアを感染させる可能性があります。

こうした脆弱性はしばしばマルウェア攻撃に利用されるため、すべての7-Zipユーザーはできるだけ早くアップデートを適用する必要があります。

例えば、2024年6月にはMicrosoftがMotWのセキュリティ回避の脆弱性(CVE-2024-38213)を修正しましたが、これはDarkGateマルウェアのオペレーターが2024年3月以降、ゼロデイ攻撃として利用していたもので、SmartScreen保護を回避し、Apple iTunesやNVIDIA、Notionなどの正規ソフトウェアに偽装したインストーラーとしてマルウェアを配布していました。

また、金銭目的の「Water Hydra(別名DarkCasino)」ハッキンググループも、別のMotW回避脆弱性(CVE-2024-21412)を悪用し、株式取引のTelegramチャンネルや外国為替取引フォーラムをターゲットにDarkMeリモートアクセス型トロイの木馬(RAT)を配布していました。

7-Zipに自動更新機能が実装されるまでは、出来るだけ定期的に公式サイトをチェックし、最新バージョンが配布されている場合は速やかにアップデートを適用するように努めましょう。

なお、単純なZipファイルの圧縮解凍であれば、7-Zipのようなフリーソフトを使用せずとも、Windows 11の純正機能で圧縮解凍することも可能です。これを機に7-Zipをアンインストールし、Windowsの純正機能を利用するのも、一つの手段かもしれませんね。

参考サイト:Bleeping Computer

コメント