調査官らは、ZIPアーカイブ内に悪意あるコードを難読化する新しい手法に目を向けています。「ゾンビZIP」と名付けられたこの方法により、攻撃者は自らのペイロードを隠蔽することで、ほとんどの防御機構がその内容を無害なデータとして誤認識するようにできます。
Bombadil Systemsに所属するセキュリティ専門家のChris Azizがこのテクニックを開発しました。この戦略は基本的にZIPアーカイブのヘッダー操作に基づいています。攻撃者は圧縮方法を指定する特定のフィールドを改ざんし、分析エンジンに格納されたファイルが完全に圧縮されていないと信じさせます。アンチウイルススキャナーと脅威検出システムはこの操作された値を信頼して、コンテンツを通常の圧縮されていないデータとして監査します。
実際には、アーカイブはDeflateアルゴリズムで圧縮されたファイルを含んでいます。これはZIPアーキテクチャの標準的な圧縮方法です。その結果、防御機構は支離滅裂なバイト列のみを認識し、悪意あるコードの特徴的な暗号署名を発見することに完全に失敗します。Chris Azizが提供したテレメトリーによれば、この巧妙な方法はVirusTotal プラットフォーム上で現在入手可能な51のアンチウイルスエンジンのうち50を巧みに回避します。
7-Zip、WinRAR、またはネイティブunzip機能など、標準的なユーティリティを使用してこのようなアーカイブを抽出しようとした場合、エラーが発生するか、データが破損しているという診断メッセージが表示されます。このエラーの原因は、完全に抽出されたファイルのチェックサムに対応する巧妙に改ざんされた循環冗長検査(CRC)値にあります。この明らかな不一致のため、一般的な抽出ソフトウェアはアーカイブを根本的に破損していると判断します。
しかし、カスタマイズされた悪意あるソフトウェアはヘッダーで指定された圧縮方法を無視し、Deflateアルゴリズムを使用してデータを自動的に抽出する能力を持っています。このような状況では、隠蔽されたペイロードはエラーなく完璧に展開されます。Chris Azizは、このテクニックの動作メカニズムを明確に示すためのデモンストレーションコードとサンプルアーカイブをGitHubに公開しています。
CERT調整センターはこの展開する現象に目を光らせています。同組織は正式な警告を発表し、この問題にCVE-2026-0866という識別子を付与しました。センターの代表者は、20年以上前にESETアンチウイルススイートの初期段階で発見された脆弱性CVE-2004-0935との顕著な類似性を指摘しました。
センターの見解では、防御ソリューションの設計者は、宣言された圧縮方法とアーカイブ内に存在する実際のデータとの完全な一致を保証するための厳密な検証を実装する必要があるとしています。アーカイブ構造の詳細な分析を目的とした補助メカニズムの統合と、より厳密な検査体制を組み合わせることで、このような悪質な不一致を暴露するのに効果的です。
さらに、出所が疑わしいアーカイブを扱う際には、極度の注意を払う必要があることが強調されています。抽出プロセスで「サポートされていないメソッド」エラーが発生した場合、それは悪意あるコンテンツを隠蔽する秘密の試みの前兆である可能性があります。したがって、そのようなファイルを直ちに削除することは非常に賢明です。
