7-Zipのバージョン26.02がリリースされ、リモートコード実行の脆弱性が修正されました。攻撃者はこの脆弱性を悪用し、特別に細工した圧縮ファイルをユーザーに開かせることで悪意あるコードを実行できる可能性がありました。
この脆弱性は、研究者Landon Peng氏(Lunbun)によって公表されたもので、7-ZipのXZ圧縮データ処理部分に存在します。
Zero Day Initiativeのアドバイザリによると、特別に細工されたXZデータによってヒープベースのバッファオーバーフローが引き起こされ、攻撃者がユーザー権限で任意のコードを実行できる可能性があるとしています。
開発者はこの脆弱性に関する技術的な詳細を公表していませんが、バージョン26.02のソースコードにおける変更内容から、XZデータの展開時に7-Zipが利用可能な空き容量を追跡する仕組みに関連するものとみられます。
今回のパッチでは、出力バッファ内の残り空き容量を超えてデコーダーが書き込みを行えないようにするチェックが追加され、ヒープベースのバッファオーバーフローの発生を防ぐようになっています。
アドバイザリによれば、この脆弱性の悪用には、悪意あるページへのアクセスや悪意あるアーカイブファイルを開くといったユーザーの操作が必要とされています。
自動アップデート機能は非搭載
7-Zipには自動アップデート機能が搭載されていないため、ユーザーはこのセキュリティ修正を自動的に受け取ることができません。修正を適用するには、公式サイトの7-zip.orgから最新版を手動でダウンロードしてインストールする必要があります。
7-ZipはWindowsで最も広く使われている圧縮・展開ツールの一つであるため、そのアーカイブ機能に影響する脆弱性は脅威アクターにとって格好の標的となります。
フィッシングキャンペーンやソーシャルエンジニアリング攻撃を通じて、この脆弱性を悪用してマルウェアを侵入先のシステムにインストールする悪意あるアーカイブファイルが配布される可能性があります。
これは決して非現実的なシナリオではありません。7-Zipを含むアーカイブ関連の脆弱性は、過去の攻撃で実際に悪用されてきた実績があるためです。
2025年初頭には、WindowsのMark of the Web(MotW)というセキュリティ機能をマルウェアが回避できてしまう7-Zipの脆弱性が、ロシアのハッカーによってゼロデイとして悪用されました。
また同じ2025年の後半には、ロシアのハッキンググループがWinRARの脆弱性を悪用し、CVE-2025-8088として追跡されているこの脆弱性をフィッシング攻撃で利用してRomComマルウェアをインストールしていました。
現時点では、今回新たに公表された7-Zipの脆弱性が攻撃者によって実際に悪用されているという報告はありません。
とはいえ、今後の攻撃リスクを低減するためにも、ユーザーはできるだけ早くバージョン26.02へアップデートすることが推奨されます。
攻撃者に先んじて、すべてのレイヤーをテストする
セキュリティチームが記録できている攻撃の成功例はわずか54%、アラートが上がるのはたった14%にすぎません。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(breach and attack simulation)によってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。