最近、コーディング解析者によって、7-Zipアーカイブユーティリティにおけるゼロデイ脆弱性が発見され、これはロシアのウクライナ侵攻に関連して悪用されています。この脆弱性により、特定のロシアのサイバー犯罪グループが、インターネットからダウンロードされたファイルの実行を制限するWindowsの保護機能を無視することを可能にしました。この防御策は、マーク・オブ・ザ・ウェブ(MotW)として知られ、インターネットからダウンロードされたすべてのファイルに「Zone.Identifier」タグを付けることで機能しています。このタグは、ファイルがWindows Defender SmartScreenからの追加の審査を受け、制限をかけられるようにするためのものです。
7-Zipの脆弱性は、ロシアのサイバー犯罪グループがこれらの保護を回避できるように、アーカイブ内に実行可能ファイルを埋め込み、さらにそのアーカイブを別のアーカイブに埋め込む方法で悪用されました。外側のアーカイブにはMotWタグが付いている一方、内側のアーカイブにはそのタグが付いていなかったのです。この脆弱性はCVE-2025-0411として追跡されており、2025年11月にリリースされたバージョン24.09で修正されました。
CVE-2025-0411の根本的な原因は、バージョン24.09以前の7-Zipが二重カプセル化されたアーカイブの内容にMotW保護を正しく伝播できていなかったことです。これにより脅威アクターは、悪性スクリプトまたは実行可能ファイルを含むアーカイブを作成し、それらがMotW保護を受けず、Windowsユーザーが攻撃に対して脆弱になるという状況を生み出しました。
攻撃をより見えにくくするために、実行可能ファイルの拡張子はホモグリフを使用して表示されました。ホモグリフとは、見かけ上同一または類似に見えるが、異なるエンコーディングスキームに属している文字のことです。例として、キリル文字のСが挙げられます。これはASCII文字のCに似ていますが、全く別のものであり、長年ハッカーによりドメインの詐称などに利用されています。
7-Zipのゼロデイ脆弱性を悪用している脅威アクターは、ホモグリフを類似の方法で使用し、実行可能ファイルを文書ファイルのように見せかけました。攻撃を受けたのは、実際のウクライナ政府機関からの真の侵害されたアカウントから送信された二重アーカイブファイルが添付されたメールでした。これらの攻撃のターゲットとなった機関には、具体的な組織名がいくつか挙げられています。
7-Zipを使用しているすべてのユーザーは、特にWindowsで使用している場合は、最新のバージョンである24.09を使用していることを確認してください。これにより、潜在的な攻撃から自身を保護することができます。
