大解凍・圧縮ソフト「7-Zip」において、「Mark of the Web(MOTW)」を回避できてしまう脆弱性が存在することが明らかになりました。
この問題は、Trend Microのセキュリティチーム「Zero Day Initiative(ZDI)」により、米国時間1月19日にアドバイザリとして公開されました。
「Mark of the Web(MOTW)」とは、Windows環境においてインターネットからダウンロードされたファイルに付与される特殊なメタデータのことです。これはNTFSファイルシステムの「代替データストリーム(Alternate Data Streams:ADS)」という仕組みを利用して保存され、ファイルが信頼できない取得元であることを示します。
このMOTWが付与されたファイルを実行しようとすると、Windowsは警告を表示し、ユーザーに注意を促します。
しかし、古いバージョンの7-Zipには、書庫ファイルからファイルを展開する際の処理に不備がありました。
細工された書庫ファイルを解凍した場合、本来であれば抽出後のファイルにも引き継がれるべきMOTWが付与されず、警告が表示されなくなってしまいます。
その結果、ユーザーは危険性に気付かないまま、悪意のあるファイルを実行してしまう可能性があります。
この脆弱性には「CVE-2025-0411」という識別番号が割り当てられており、CVSS v3.0の基本値は「7.0」と評価されています。これは中程度から高い深刻度に分類される水準であり、早急な対応が推奨されます。
本問題は、2024年11月29日にリリースされた「7-Zip 24.09」において修正されています。
そのため、現在もそれ以前のバージョンを利用している場合は、できるだけ早く最新版へ更新することが望まれます。
7-Zipは、LZMAおよびLZMA2アルゴリズムを用いた7z形式の書庫ファイルを扱うためのソフトウェアです。ZIPやGZIPなどの圧縮・解凍にも対応しており、解凍のみであればARJ、CAB、LZH、RARといった形式にも対応しています。
オープンソースで開発されており、コードの大部分はGNU LGPLライセンスで提供されています。商用利用を含め、無償で利用できる点が大きな特徴です。
対応OSは、64bit版を含むWindows 2000以降となっています。
現在、最新版の7-Zipは公式サイトや「窓の杜」ライブラリから無償でダウンロード可能です。
安全に利用するためにも、利用中のバージョンを確認し、必要に応じて速やかにアップデートすることが重要です。
 |  |