WinRAR 7.10 がリリース:Mark-of-the-Web フラグの微調整が可能に!

New WinRAR version strips Windows metadata to increase privacy

2025/02/18 BleepingComputer — 2025年2月18日にリリースされた WinRAR 7.10 は、メモリ・ページの増加/ダーク・モードへの対応に加えて、ファイル抽出時の Windows の Mark-of-the-Web フラグの微調整を行う機能などの、多数の機能が追加されたバージョンである。

WinRAR は Windows 用の人気のファイル・アーカイバ/圧縮ツールであり、RAR/ZIP などの多様なファイル形式で、圧縮ファイルを作成/抽出/管理する機能をユーザーに提供している。作成者によると、このツールは世界中の5億人が使用しているという。

2025年2月17日に WinRAR 7.10 の最終バージョンをリリースした win.rar GmbH は、プログラムの性能と利便性を向上させる多数の新機能をリストアップしている。

これらの新機能には、パフォーマンスを向上させるためのメモリ・ページの拡張や、設定インターフェイスの改良、待望のダーク・モードなどがある。

WinRAR dark mode
WinRAR dark mode
Source: BleepingComputer

そして、注目の新機能の1つは、Mark of The Web 互換データ・ストリームから、プライバシー・リスクと見なされる情報を削除するための、新しい設定である。

WinRAR 7.10 のリリース・ノートには、「”Settings/Security” ダイアログの “Zone value only” オプションは、アーカイブの Mark of the Web の伝播に、セキュリティ・ゾーンの値だけを取り込むのか、また、使用できる全フィールドを取り込むのかを、制御するものだ」と記載されている。

また、ダウンロード場所や IP アドレスなどの追加フィールドは、ファイル・ソースの識別において有益となる場合がある、ファイルを他者と共有する場合には、プライバシーの問題になる可能性もある。

Mark-of-the-Web (MoTW) に馴染みのない方のために説明すると、それは “Zone.Identifier” という互換データ・ストリームのことであり、インターネット上の Web サイトやメールなどのからダウンロードされた、ファイルに追加されるものだ。

この識別子は、Windows とアプリケーションに対して、対象となるファイルは他のコンピューターやインターネットからダウンロードされたものであり、開くとリスクが生じる可能性があると伝えるものだ。

ダウンロードしたファイルを開こうとすると、Windows は MoTW の存在の有無を確認し、存在する場合にはユーザーに対して警告を表示し、ファイル実行の可否を尋ねる。

Launching a downloaded executable containing a MoTW
Launching a downloaded executable containing a MoTW
Source: BleepingComputer

Microsoft Office も Mark-of-the-Web をチェックし、それが見つかった場合には、ファイルを読み取り専用モードでマクロを無効化して、Protected View で対象ドキュメントを開く。

また、ダウンロードしたファイルに Mark-of-the-Web が存在する場合には、Edge (Windows Explorer) で右クリックして、そのプロパティを開くことも可能だ。

ファイルに MoTW が含まれている場合は、”このファイルは別のコンピューターから取得されたものであり、このコンピューターを保護するためにブロックされる可能性がある」というメッセージが表示される。

最新のファイル・アーカイブは、アーカイブ内で見つかった MoTW を抽出されたファイルに伝播し、それらのファイルも Windows セキュリティ機能で保護するようにしている。

Windows のセキュリティ警告を回避するゼロデイ脆弱性を探し出し、悪意のファイルを展開しようと試みる脅威アクターにとって、MoTW はターゲットにすべき強力なセキュリティ機能である。

ただし、ファイルを他の人と共有すると、そのファイルのダウンロード元が、機密情報を明らかにする可能性を持つため、プライバシーの問題だと考える人もいる。

Zone.Identifier フラグに含まれるものには、ダウンロード元の ZoneID や、ファイルの URL、ファイルを参照する URL、場合によってはダウンロード元のホスト IP アドレスなどがあり、ダウンロードされたファイルに関する多くの情報が含まれているためである。

Information in MoTW Zone.Identifier
Information in MoTW Zone.Identifier
Source: BleepingComputer

WinRAR 7.10 では、デフォルトで ZoneID のみという、新しい設定が有効化されている。この設定は、MoTW 互換データ・ストリームから、抽出されたファイルへの伝播が行われる際に、ZoneID 以外の、すべての情報を削除するものである。

MoTW settings in WinRAR 7.10
MoTW settings in WinRAR 7.10
Source: BleepingComputer

この設定が行われても、Mark-of-the-Web セキュリティ機能は、抽出されたファイル上で引き続き機能するが、ファイルがダウンロードされた場所を、データ・ストリームを介して知ることはできなくなる。

MoTW データの完全な伝播を有効化する場合には、WinRAR settings > Security へと移動し、”Zone value only” のチェックを外す必要がある。

この新しい設定には、デジタル・フォレンジックの妨げになる可能性がある、最も厳格なプライバシーを求める人にとって歓迎すべき機能である。

WinRAR 7.10 がリリースされ、プライバシー保護を強化する新機能が追加されました。Windows の Mark-of-the-Web (MoTW) といえば、近ごろ、この機能を回避する脆弱性がいくつか発見されています。そのため、WinRAR の新機能はユーザーにとって心強い改善と言えるでしょう。よろしければ、以下の関連記事も、WinRAR で検索と併せて、ご参照ください。

2025/01/20:7-Zip の脆弱性 CVE-2025-0411:MoTW フラグの欠落
2024/11/22:WinZip の脆弱性 CVE-2024-8811:MoTW を無効化