Source:https://thehackernews.com/2025/11/hackers-actively-exploiting-7-zip.html
🛡 概要
7-Zipに存在したシンボリックリンク処理の欠陥によりリモートコード実行(RCE)が可能となる脆弱性CVE-2025-11001(CVSS 7.0)について、NHS England Digitalは実際の悪用が確認されていると注意喚起しています。修正は2025年7月公開の7-Zip 25.00で提供済みです。併せてCVE-2025-11002(CVSS 7.0)も同バージョンで修正されています。PoCは公開済みで、Windows環境かつ昇格ユーザー/サービスアカウント、または開発者モード有効時に悪用可能と報告されています。
🔍 技術詳細
問題の本質は、ZIPアーカイブ内のシンボリックリンク項目の扱いに起因するディレクトリトラバーサルです。攻撃者は細工したZIPにシンボリックリンクを埋め込み、展開時に意図しない上位ディレクトリ(例:C:\Windows\、C:\Program Files\、ユーザーのStartupフォルダなど)へファイルを書き出させます。これにより、実行可能ファイルやスクリプトが本来の展開先外に配置され、サービスアカウントや昇格ユーザーの権限でコードが実行される可能性が生じます。Trend Micro ZDIは、当該欠陥がZIP処理時のリンク解決の不備によりTraversalが起こり得る点を指摘しており、結果として任意コード実行に至ると解説しています。発見はGMOペパボ系の研究者である志賀遼太氏ら(Flatt Security)にクレジットされています。攻撃チェーンとしては、1) 被害端末で7-Zipにより細工ZIPを展開、2) シンボリックリンク解決により危険なパスへファイル書き込み、3) 自動起動領域やサービスの実行コンテキストでコード実行、という流れが典型です。公開PoCの説明によれば、本脆弱性はWindowsに限定され、昇格ユーザー/サービスアカウント、またはWindowsの開発者モードが有効な環境で現実的な悪用が成立する、とされています。なお、CVE-2025-11001/11002はいずれも7-Zip 21.02で導入された欠陥で、25.00で修正済みです。
⚠ 影響
・影響製品: 7-Zip 21.02〜24.x系(25.00未満)
・影響OS: 悪用可能性はWindowsに限定(報告ベース)
・権限条件: 昇格ユーザー/サービスアカウント、またはWindows開発者モード有効時に成立しやすい
・リスク: 任意コード実行、永続化(Startup等)、重要ディレクトリへの不正ファイル配置、サプライチェーン的な二次被害(署名済み7-Zipの信頼を介した実行)
・CVSS: 各7.0(ベンダ/公的情報に依拠)
🛠 対策
1) パッチ適用: 7-Zip 25.00以降へ即時更新。ソフトウェア資産管理でバージョン21.02〜24.xの残存を可視化・排除。
2) 運用抑止: パッチ適用までの暫定策として、信頼できないZIPの展開を隔離環境(AppContainer/仮想環境/非特権ユーザー)で実施。サービスアカウントでの7z.exe実行を禁止。
3) 権限最小化: サービス/自動化ジョブからの7-Zip呼び出しを棚卸しし、不要な管理者権限を剥奪。
4) 開発者モード制御: 組織方針で不要な端末の開発者モードを無効化(AllowDevelopmentWithoutDevLicense等のレジストリを監査)。
5) 実行制御: AppLocker/WDACで7z.exe/7zFM.exeの実行元・署名・パスを制限。重要ディレクトリ(Windows/Program Files/スタートアップ)の書き込みを制御付きフォルダーアクセス等で保護。
6) 検出強化: 7-Zip実行直後にシステム領域へ新規ファイルが生成された事象を高優先度アラート化。IOCよりも行動(7z→不審書き込み→子プロセス起動)の相関で検出。
📌 SOC視点
・プロセス監視: 7z.exe/7zFM.exeの起動(Windows Event ID 4688、Sysmon EID 1)、子プロセス(cmd.exe、powershell.exe、wscript.exe等)生成を相関。
・ファイルI/O: Sysmon EID 11で7z.exe主体のファイル作成を収集し、展開先パス外(例: C:\Windows\、C:\Program Files\、%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup)への書き込みを検知。
・レジストリ: 開発者モード状態(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock\AllowDevelopmentWithoutDevLicense=1)を資産台帳と照合し異常端末を特定。
・振る舞い分析: 短時間に「ZIP展開→システム領域書き込み→自動起動領域に実行ファイル配置→新規自動起動の発火」が連なる時系列をルール化。
・脅威ハンティング: 7z.exeがサービスアカウント(NT AUTHORITY\LOCAL SERVICE/NETWORK SERVICE/カスタムサービス)で実行された痕跡を横断検索。
📈 MITRE ATT&CK
・TA0002 Execution / T1203 Exploitation for Client Execution: 7-Zipのシンボリックリンク処理不備を突いたクライアント実行の悪用。細工ZIPの解凍処理をトリガに任意コードがサービスアカウント等の権限で実行され得るため。
(注: 初期侵入手段や持続化手口の詳細は公式に未公開のため、ここでは確証ある範囲に限定)
🏢 組織規模別助言
・小規模(〜50名): 端末一斉更新を最優先。7z.exe実行を管理者のみ許可し、開発者モードは原則無効。統合型AV/EDRで7z.exeの子プロセス生成をブロック。
・中規模(50〜500名): ソフトウェア資産管理でバージョン差分を可視化し、SCCM/Intune等で25.00へ強制更新。AppLockerで7z.exeの実行制約。SOCで「7z→システム書き込み」のユースケース検知を運用化。
・大規模(500名〜): WDACポリシーと条件付きアクセスで役割別に7-Zip機能を分離。CI/CDやビルドサーバにおける7-Zip利用を棚卸し、サービスアカウントの権限・トークン保護を徹底。攻撃シミュレーション(紫チーム)で検知・封じ込めSLAを検証。
🔎 類似事例
・CVE-2025-11002: 7-Zipのシンボリックリンク処理に起因する別のRCE(CVSS 7.0、25.00で修正)。
・CVE-2018-20250: WinRARのACE展開時Path TraversalによりStartupフォルダへ書き込み、広範に悪用された事例。
・CVE-2018-10115: 7-ZipのRAR処理におけるコード実行。
・Zip Slip(2018): 複数エコシステムで確認されたアーカイブ展開時のPath Traversal一連の脆弱性。
・CVE-2022-29072: 7-Zipにおける権限昇格問題。
🧭 次の一手
1) 全端末の7-Zipを25.00へ更新、21.02〜24.xの残存をゼロ化。
2) EDRで「7z.exe/7zFM.exe→システム領域書き込み→子プロセス」の検知ルールを即日展開。
3) 開発者モードの有効端末を棚卸しし、業務上必要な最小範囲に限定。
4) サービスアカウントでの7-Zip利用を禁止・代替設計に変更。
5) 次の記事として、当社の「7-Zip 25.00移行手順とEDR検知プレイブック」を参照し、実装を完了させてください。
