概要

世界中で数百万人に利用されている人気のファイル圧縮ソフトウェア7-Zipに、深刻な脆弱性（CVE-2025-11001）が発見され、サイバーセキュリティ研究者らによって活発な悪用が報告されています。この脆弱性は、攻撃者が脆弱なシステム上でリモートから悪意のあるコードを実行することを可能にし、重大なリスクをもたらします。

脆弱性の詳細

CVE-2025-11001として追跡されているこの脆弱性は、CVSSスコア7.0（高）が割り当てられています。

• CVE ID: CVE-2025-11001
• 脆弱性の種類: ファイル解析におけるディレクトリトラバーサルによるリモートコード実行 (File Parsing Directory Traversal Remote Code Execution)
• CVSSスコア: 7.0 (高)
• 影響を受ける製品: 7-Zip（バージョン25.00より前の全てのバージョン）

この脆弱性は、7-Zipがファイル抽出時にシンボリックリンクを処理する方法の欠陥を悪用します。攻撃者は、悪意を持って作成されたアーカイブファイルを細工することで、ソフトウェアに意図した抽出ディレクトリの外部にファイルを書き込ませることができます。これにより、実行可能なファイルをシステムの重要な場所に配置し、これらのファイルがアクセスまたは実行された際に任意のコード実行を引き起こすことが可能になります。

活発な悪用とリスク

セキュリティ研究者らは、この脆弱性を武器化する方法を示す概念実証（PoC）エクスプロイトを公開しており、これによりサイバー犯罪者がパッチ未適用のシステムに対して攻撃を開始するハードルが大幅に下がっています。脅威インテリジェンスレポートによると、実際の攻撃での悪用がすでに観測されています。

7-Zipは企業環境、政府機関、個人用コンピュータで広く使用されているため、攻撃対象領域は非常に広いです。この脆弱性を標的とする攻撃者は、機密システムへの不正アクセスを獲得し、追加のマルウェアペイロードを展開する可能性があります。

緊急対策

組織およびユーザーは、直ちに7-Zipをバージョン25.00以降にアップデートする必要があります。最新バージョンはCVE-2025-11001を修正し、この悪用方法から保護します。システム管理者は、脆弱なバージョンを実行しているすべてのエンドポイントとサーバーにわたるこのアップデートを優先すべきです。アップデートを遅らせることは、サイバー犯罪者がすでに悪用している活発な脅威にシステムをさらすことになります。パッチを適用することで脆弱性が排除され、悪意のあるアーカイブファイルを介した潜在的なリモートコード実行攻撃を防ぐことができます。

元記事: https://gbhackers.com/7-zip-rce-vulnerability-actively-exploited-by-hackers/