研究者たちは、広く普及している7-Zipデータ圧縮ユーティリティに重大なセキュリティ脆弱性を発見した。精巧に細工されたディスクイメージを開くと、通常の解凍失敗ではなく任意のリモートコード実行が引き起こされる。重要なのは、このメモリ破損の異常がNTFSアーカイブ用の内部パーサー内に存在するという点だ。さらに、ファイルの拡張子は処理エンジンにとって完全に無関係であるため、リスクはいっそう増大する。その結果、武器化されたペイロードは無害なアーカイブ形式を容易に偽装できる。あるいは、ファイルが従来のファイル名サフィックスをまったく持たない場合もある。
時系列での追跡と影響を受けるアーキテクチャバージョン
この欠陥はCVE-2026-48095として正式に登録されている。特筆すべきは、CVSS 3.1フレームワークにおいて深刻度8.8という高いスコアを持つ点だ。GitHub Security Labの研究グループは2026年4月24日に開発者へ脆弱性を正式に開示した。注目すべきことに、メンテナーは4月27日にバージョン26.01で決定的な修正を配布した。エンジニアがバージョン26.00で欠陥を明確に確認した一方、根本的な計算ミスは長年にわたって存在していた。具体的には、NTFSの圧縮ストリーム補間が初めて導入された際にコードベースへ混入した。したがって、バージョン26.00以前のすべての旧バージョンは深刻なリスクにさらされたままである。
範囲外メモリ破損の技術的な解体
このアーキテクチャ上の欠陥は、NTFSメタデータを解析するために設計された内部ハンドラーに起因する。悪意を持って不正な形式のストレージイメージを処理する際、エンジンは過大なクラスタトポロジーを受け入れる。同時に、無効なCompressionUnitスカラー値を取り込む。その後、アロケーションエンジンは圧縮テレメトリペイロードに必要な入力バッファサイズを誤って計算する。この状態が32ビット整数境界でのビットシフト演算中に未定義動作のシーケンスを引き起こす。その直接的な結果として、7-Zipはわずか1バイトのメモリコンテナを確保する。そしてユーティリティは、その極小の領域に最大256メガバイトの攻撃者制御データストリームを直ちに書き込もうとする。
ヒープ破損による実行フローの乗っ取り
セキュリティアナリストは、このヒープベースの深刻な範囲外書き込みが基礎となるストリームオブジェクト構造を直接破損させると指摘している。この侵害により、攻撃者は仮想メソッドテーブルポインタを乗っ取ることができる。実稼働環境では、この精密な傍受シーケンスが任意コード実行への道を開く。あるいは、直ちにアプリケーションを壊滅的にクラッシュさせることもある。このエクスプロイトを成功させるには、ターゲットのユーザーが武器化されたNTFSボリュームを開くか、検証するか、ファイル展開を開始するだけでよい。
アーキテクチャの差異とマルチプラットフォームへの影響分析
この運用上の危険は、32ビットおよび64ビット両方のアーキテクチャコンパイルで発現する。32ビット動作環境では、もともとのメモリフットプリントが制限されているためほぼ確実にメモリ枯渇が発生する。一方、64ビットフレームワークでは、プラットフォームが大容量のセカンダリ出力バッファを確保できるかどうかに悪用の成否が依存する。このシナリオは、16ギガバイト以上のランダムアクセスメモリを搭載した現代のデバイスでは十分に現実的だ。ローカルシステムの揮発性メモリが不足している場合、障害状態は通常のサービス拒否(DoS)状態へと緩やかに低下する。
フォールバックシグネチャ検証のリスク
7-Zipのネイティブなフォーマット判定ヒューリスティックから独立したリスクベクターが生じる。コアのNTFSパーサーは.ntfsおよび.imgファイル拡張子に明示的に紐付けられている。しかし、このソフトウェアは同時に暗号学的なマジックナンバーとシグネチャの自動検証も使用している。拡張子ベースの主要フィルターが受信ファイルを拒否した場合、ユーティリティは体系的に代替レイアウトの検査へとフォールバックする。イメージバイナリの先頭にあるシグネチャヘッダーを解析することで、NTFSスキーマを自律的に識別する。その結果、悪意あるペイロードが.7z、.zip、または.rarといった名称に偽装されていても、難なく脆弱なハンドラーへと誘導される。
修正の必要性と防御アクションプレイブック
セキュリティ研究者のYaroslav Lobachevskyがこの構造的な異常を分離することに成功した。なお、彼はGitHub Security Lab内で@JarLobというデジタルハンドルネームを使用している。組織の境界を保護するため、7-Zipのすべての利用者はインフラをバージョン26.01以降のビルドに移行しなければならない。さらに、エンタープライズ管理者は審査されていないディスクストレージイメージの取り込みを厳しく禁止すべきだ。また、認証されていないデジタルソースから提供されたアーカイブコンポーネントは完全に使用を避けなければならない。
翻訳元: https://meterpreter.org/7zip-cve-2026-48095-patch-ntfs-heap-overflow/
