7-Zipに存在するCVE-2025-11001の脆弱性が、PoC(概念実証)エクスプロイトの公開によって、現実的な脅威として認識され始めています。この脆弱性は、シンボリックリンクの処理における不備を悪用し、リモートからのコード実行を可能にするもので、セキュリティコミュニティに警戒感が広がっています。イギリスのNHS England Digitalは、この問題に関するアドバイザリーを更新し、注意を呼びかけています。
当初、NHS England Digitalは、この脆弱性が実際に悪用されている事例を確認したと発表しましたが、後にこの記述を修正し、現在までに実際の攻撃は確認されていないと述べています。しかし、PoCエクスプロイトが公開されたことで、攻撃者がこの脆弱性を悪用する可能性が高まっており、7-Zipのユーザーは警戒を強める必要があります。特に、特権ユーザーや開発者モードが有効になっている環境では、リスクが高まると指摘されています。
この脆弱性の深刻度を示す指標として、CVSSスコアは7.0と評価されています。これは、リモートからコードが実行される可能性があるという点で、重大な脅威とみなされるレベルです。脆弱性の発見と報告は、GMOフラットセキュリティ株式会社の志賀諒太氏と、同社のAI搭載AppSec監査ツール「Takumi」によるものです。彼らの貢献により、この脆弱性が早期に特定され、対策が講じられる機会が与えられました。
Trend MicroのZero Day Initiative(ZDI)も、この脆弱性に関するアラートを発表し、注意を喚起しています。ZDIのアラートによると、この脆弱性は、ZIPファイル内のシンボリックリンクの処理に起因し、攻撃者が意図しないディレクトリにアクセスすることを可能にします。その結果、サービスアカウントのコンテキストでコードが実行される可能性があります。
脆弱性の詳細と影響範囲
CVE-2025-11001は、7-Zipバージョン21.02以降に導入されたシンボリックリンクの処理における欠陥に起因します。具体的には、ZIPファイル内のシンボリックリンクを適切に処理できないため、攻撃者はこれを利用して、ファイルシステム上の任意の場所にアクセスしたり、コードを実行したりすることが可能になります。この脆弱性を悪用するには、特別に細工されたZIPファイルを7-Zipで展開させる必要があります。
この脆弱性の影響を受けるのは、Windows環境に限られます。セキュリティ研究者のDominik(別名pacbypass)は、PoCエクスプロイトを公開する際に、この脆弱性がWindowsでのみ悪用可能であることを明記しています。したがって、他のオペレーティングシステムを使用している7-Zipユーザーは、この脆弱性の影響を受けません。
7-Zipバージョン25.00では、CVE-2025-11001に加えて、CVE-2025-11002という別の脆弱性も修正されています。CVE-2025-11002もシンボリックリンクの不適切な処理に関連するもので、同様にリモートコード実行を可能にする可能性があります。これらの脆弱性は、7-Zipのセキュリティを大幅に低下させるものであり、早急なアップデートが不可欠です。
脆弱性が悪用された場合、攻撃者はシステムを完全に制御し、データの窃取、マルウェアのインストール、システムの破壊など、さまざまな悪意のある活動を行う可能性があります。特に、サーバーや開発環境など、重要なシステムで7-Zipを使用している場合は、そのリスクは非常に高くなります。
対策とアップデートの重要性
7-Zipのユーザーは、バージョン25.00以降にアップデートすることで、CVE-2025-11001およびCVE-2025-11002の脆弱性から保護されます。アップデートは、7-Zipの公式サイトからダウンロードできます。アップデートを適用する際には、システムのバックアップを作成しておくことを推奨します。万が一、アップデート後に問題が発生した場合でも、速やかに以前の状態に復元できます。
アップデートに加えて、セキュリティ対策を強化することも重要です。例えば、信頼できないソースからのZIPファイルを開かない、不審なファイルはスキャンしてから開く、セキュリティソフトを最新の状態に保つなどの対策が有効です。また、特権ユーザーアカウントのアクセス制御を厳格化し、不要なサービスを停止することも、攻撃のリスクを軽減する上で重要です。
企業や組織においては、7-Zipの使用状況を把握し、脆弱性管理プロセスを確立することが不可欠です。定期的な脆弱性スキャンを実施し、発見された脆弱性に対して迅速に対応することで、セキュリティリスクを最小限に抑えることができます。また、従業員に対するセキュリティ教育を徹底し、セキュリティ意識の向上を図ることも重要です。
今回の7-Zipの脆弱性は、ソフトウェアの脆弱性が、いかに深刻な脅威となり得るかを示す好例です。ソフトウェア開発者は、セキュリティを最優先事項として、脆弱性のない安全なソフトウェアを開発する必要があります。また、ユーザーは、ソフトウェアを常に最新の状態に保ち、セキュリティ対策を講じることで、サイバー攻撃のリスクを軽減することができます。
脆弱性発見の経緯とセキュリティ業界への貢献
CVE-2025-11001およびCVE-2025-11002の脆弱性を発見したのは、GMOフラットセキュリティ株式会社の志賀諒太氏と、同社のAI搭載AppSec監査ツール「Takumi」です。彼らは、7-Zipのソースコードを詳細に分析し、シンボリックリンクの処理における潜在的な問題を特定しました。彼らの発見は、7-Zipの開発チームに報告され、迅速な修正につながりました。
志賀氏らの貢献は、セキュリティ業界において高く評価されています。脆弱性の発見と報告は、ソフトウェアのセキュリティを向上させ、ユーザーをサイバー攻撃から保護する上で不可欠です。また、彼らの活動は、他のセキュリティ研究者や開発者にとって、良い刺激となり、より安全なソフトウェア開発を促進するでしょう。
GMOフラットセキュリティ株式会社は、AIを活用したAppSec監査ツール「Takumi」を開発し、ソフトウェアの脆弱性検出に貢献しています。Takumiは、従来の脆弱性スキャンツールでは検出が難しい、複雑な脆弱性を検出することが可能です。同社は、Takumiを通じて、ソフトウェアのセキュリティ向上に貢献していくとしています。
今回の7-Zipの脆弱性発見は、AI技術がセキュリティ分野に貢献できる可能性を示すものでもあります。AIは、大量のコードを高速かつ正確に分析し、潜在的な脆弱性を特定することができます。今後、AI技術の発展により、ソフトウェアのセキュリティはさらに向上していくことが期待されます。
7-Zipの利用状況と潜在的なリスク
7-Zipは、オープンソースのファイルアーカイバとして、世界中で広く利用されています。その高い圧縮率と無料で使用できる点が、多くのユーザーに支持されています。しかし、その人気とは裏腹に、過去にも複数のセキュリティ脆弱性が報告されており、常にセキュリティリスクと隣り合わせの状態にあります。
7-Zipは、個人ユーザーだけでなく、企業や組織でも広く利用されています。特に、大容量のファイルを圧縮して送信する際に、7-Zipが利用されることが多いです。しかし、企業や組織においては、7-Zipの利用状況を十分に把握していないケースも見受けられます。7-Zipがインストールされているシステムを特定し、脆弱性管理の対象とすることが重要です。
今回のCVE-2025-11001の脆弱性は、PoCエクスプロイトが公開されたことで、攻撃者にとって悪用が容易になりました。攻撃者は、特別に細工されたZIPファイルを添付したメールを送信したり、Webサイトにアップロードしたりすることで、7-Zipユーザーを攻撃することができます。ユーザーがZIPファイルを開くと、マルウェアがインストールされたり、機密情報が盗まれたりする可能性があります。
7-Zipの脆弱性を悪用した攻撃は、過去にも発生しています。例えば、2016年には、7-Zipの脆弱性を悪用して、ランサムウェアが拡散される事件が発生しました。この事件では、多くのユーザーがランサムウェアに感染し、ファイルの復号化のために身代金を支払うことを余儀なくされました。今回の脆弱性も、同様の被害を引き起こす可能性があるため、警戒が必要です。
NHS England Digitalの警告とその背景
NHS England Digitalが7-Zipの脆弱性に関して警告を発したのは、医療機関がサイバー攻撃の標的になりやすいという背景があります。医療機関は、患者の個人情報や医療記録など、機密性の高い情報を大量に保有しており、攻撃者にとって魅力的な標的となります。また、医療機関は、システムの停止が患者の生命に関わる可能性があるため、ランサムウェア攻撃などに対して脆弱です。
NHS England Digitalは、過去にも医療機関に対するサイバー攻撃が発生していることを踏まえ、今回の7-Zipの脆弱性についても、迅速な対応を呼びかけています。同機関は、医療機関に対して、7-Zipのアップデートを適用するだけでなく、セキュリティ対策を強化し、サイバー攻撃に対する防御力を高めるよう促しています。
今回の警告は、医療機関だけでなく、他の業界の企業や組織にとっても重要な教訓となります。サイバー攻撃は、あらゆる企業や組織にとって現実的な脅威であり、常に警戒を怠らないことが重要です。また、脆弱性管理プロセスを確立し、セキュリティ対策を強化することで、サイバー攻撃のリスクを軽減することができます。
NHS England Digitalの警告は、サイバーセキュリティの重要性を改めて認識させられる出来事となりました。企業や組織は、サイバー攻撃に対する防御力を高め、安全な社会を実現するために、積極的にセキュリティ対策に取り組む必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -NHS Warns of PoC Exploit for 7-Zip Symbolic Link–Based RCE Vulnerability - https://thehackernews.com/2025/11/hackers-actively-exploiting-7-zip.html