7-zip のセキュリティが強化:インターネットからのファイルに Mark-of-the-Web 識別子を付与

7-zip now supports Windows ‘Mark-of-the-Web’ security feature

2022/06/21 BleepingComputer — 7-zip は長年の要望に応え、Windows のセキュリティ機能である Mark-of-the-Web のサポートを追加し、悪意のダウンロード・ファイルに対する保護を強化した。それにより、Windows は、Web からダウンロードされた Mark-of-the-Web (MoTW) と呼ばれるドキュメントや実行ファイルに対して、’Zone.Id’ 代替データストリームを追加する。

この識別子は、対象となるファイルが他のコンピュータやインターネットからダウンロードされたものを示し、開くと危険なケースが生じる可能性を、Windows およびアプリケーションに伝える。ダウンロードしたファイルを開こうとすると、Windows は MoTW の存在の有無を確認し、存在する場合はユーザーに追加の警告を表示し、そのファイルの実行の可否を確認する。

Launching a downloaded executable containing a MoTW
Launching a downloaded executable containing a MoTW
Source: BleepingComputer

Microsoft Office においても、MoTW の存在が確認された場合には、そのファイルは読み取り専用にされ、マクロは無効され、保護されたビューで開かれる。

Word document opened in Protected View
Word document opened in Protected View
Source: BleepingComputer

ダウンロードしたファイルにおける Mark-of-Web の有無は、Windowsのエクスプローラでファイルを右クリックして、プロパティで確認できる。ファイルに MoTW が含まれている場合には、以下のダイアログの下部に、「このファイルは別のコンピュータから来たものであり、コンピュータの保護するためにブロックされる可能性がある」というメッセージが表示される。

File property indicator for the Mark-of-the-Web
File property indicator for the Mark-of-the-Web
Source: BleepingComputer

そのファイルが信頼できる場合や、そのソースが信頼できる場合には、[Unblock] ボックスにチェックを入れて [Apply] ボタンをクリックすることで、そのファイルから MoTW が削除される。さらに、対象となるファイルに対して許可を与えた後には、MoTW も削除されるため、警告が再表示されることはない。

7-zip が Mark-of-the-Web のサポートを追加した

7-zip は、最も人気のあるアーカイブ・プログラムの1つだが、これまでは Mark-of-the-Web のサポートが欠けていた。そのため、インターネットからダウンロードしたアーカイブなどを 7-zip で展開すると、展開されたファイルに Mark-of-the-Web が伝播せず、Windows が危険なものとして扱わないという問題があった。

たとえば、Word 文書を含む ZIP ファイルをダウンロードした場合において、ZIP ファイルには MoTW が付くが、解凍された Word 文書には付かないという問題があった。そのため、Microsoft Office は保護されたビューで、対象となるファイルを開くことができなかった。

長年にわたり、数多くのセキュリティ研究者/開発者/エンジニアたちが、7-Zip の開発者である Igor Pavlov に対して、セキュリティ機能を追加するよう要求してきた。

Pavlov は 7-zip バグレポートで「そのプロパティ (各ファイルのへの追加ゾーン識別子ストリーム) によるオーバーヘッドは、好ましくない場合もある」と説明していた。
しかし、先週に Pavlov が 7-zip 22.00 に新しいコンフィグレーションを追加し、ダウンロードしたアーカイブから抽出したファイルに、MoTW ストリームを伝播させることが可能になる、この状況はすべて変わった。

この設定を有効にするには、7-Zip File Manager を開き、Tools > Options の順にクリックする。7-Zip タブの下に、「Zone.Idストリームを伝播する」というタイトルの新しいオプションが表示され、No/Yes/Office Files のいずれかを選べるようになっている。このオプションから、[Yes] または、安全性の低い [For Office files] を選び、[OK] ボタンをクリックする。

Tweet by SwiftOnSecurity

この設定を有効にすると、アーカイブをダウンロードし、対象となるファイルを展開したときに、Mark-the-Web が展開されたファイルにも伝播される。この追加セキュリティにより、Windows はダウンロードしたファイルの実行の可否を確認し、また、Microsoft Office は保護されたビューで文書を開くようになるため、セキュリティが強化される。この新機能を利用するには、7-zip.org から 7-zip 22.0 をダウンロードする必要がある。

先ほどの、Adobe Acrobat の問題と似ていますね。やはり、パブリックなインターネットからダウンロードされたファイルは、しっかりとチェックすべき対象です。その意味で、7-zip が Mark-of-the-Web (MoTW) をサポートすることで、さまざまなリスクが回避されるはずです。この対応に、感謝ですね。話は変わりますが、いつからあるのだろうと、Wikipedia で調べてみたら、「7-Zipの開発は 1999年に始まり、イーゴリ・パヴロフにより活発に開発されている。2007年に SourceForge.net のコミュニティにより技術デザイン賞とベストプロジェクト賞に選ばれた」と紹介されていました。

%d bloggers like this: