WinRAR 0-Day in Phishing Attacks to Deploy RomCom Malware
2025/08/11 CyberSecurityNews — WinRAR に発見された深刻なゼロデイ脆弱性を悪用する攻撃者は、高度なフィッシング攻撃を通じて RomCom マルウェアを拡散させている。悪意のアーカイブ・ファイルを配信する攻撃者は、この脆弱性 CVE-2025-8088 (CVSS v3.1:8.4) を悪用することで、被害者のシステム上で任意のコード実行を可能にする。
主なポイント
- この脆弱性を悪用する攻撃者は、フィッシング攻撃を通じて、Windows システムに RomCom マルウェアを展開する。
- WinRAR の脆弱性を悪用する攻撃者は、悪意のアーカイブ・ファイルを介してマルウェアを仕掛けている。
- ユーザーにとって必要なことは、WinRAR 7.13 への速やかなアップデートだ。
パス・トラバーサルの脆弱性が実際に悪用されている
この脆弱性は、Windows 版 WinRAR のディレクトリ・トラバーサルの欠陥に起因し、その影響が及ぶ範囲は、RAR/UnRAR/portable UnRAR source code/UnRAR.dll components となる。
特別に細工されたアーカイブからユーザーがファイルを抽出する際に、悪意のペイロードが抽出プロセスを操作し、ユーザーが指定する保存場所を回避し、意図しないシステム・ロケーションへとファイルが配置される。
この深刻な脆弱性を発見した、ESET のセキュリティ研究者である Anton Cherepanov/Peter Kosinar/Peter Strycek は、実際の攻撃での悪用を確認している。
この脆弱性を悪用する脅威アクターは、パス・トラバーサル攻撃を実行できる。このパス・トラバーサル攻撃では、悪意のアーカイブに埋め込まれたファイル・パスにより、正規のファイル・パスが上書きされる。
この手法を用いる攻撃者は、機密性の高いシステム・ディレクトリ上に悪意の実行ファイルを配置し、侵害されたシステム上での権限昇格や永続化メカニズムを実現していくという。
この悪用の手法では、操作されたディレクトリ構造を持つアーカイブが作成され、ファイル・パスの検証がバイパスされる。
脆弱なバージョンの WinRAR を使用する被害者が、これらのアーカイブを抽出すると、ユーザーの操作を必要とすることなく、マルウェアが自動的に実行される。したがって、無警戒のユーザーが、重大な危機に直面することになる。
RomCom マルウェア攻撃キャンペーン
このゼロデイ脆弱性を武器化するサイバー犯罪者たちが、標的型フィッシング攻撃キャンペーンを通じて、’RomCom マルウェアを拡散させている。
通常において、この攻撃チェーンは、ソーシャル・エンジニアリング戦術から始まる。詐欺メールに添付されるファイルやダウンロード・リンクを介して、被害者たちが受け取るのは、正当に見える圧縮ファイルである。
これらのアーカイブには、正当に見えるドキュメントやインストーラーが含まれるが、そこには RomCom ペイロードが取り込まれている。
この RomCom マルウェア攻撃キャンペーンは、WinRAR の脆弱性をイニシャル・アクセス・ベクターとして悪用する、高度な APT スタイルの戦術を駆使している。
マルウェアの展開に成功した攻撃者は、Command and Contorl (C2) 通信を確立し、侵害したネットワーク内での偵察/データ窃取/ラテラル・ムーブメントなどを達成する。
セキュリティ・アナリストたちが指摘するのは、一般的なビジネス環境で圧縮アーカイブが共有されている状況である。そこで用いられる、従来からのセキュリティ・ソリューションでは、アーカイブの内容を抽出前に検査しないため、この攻撃ベクターの検出は困難であり、攻撃者にとって効果的となる。
| Risk Factors | Details |
| Affected Products | – Windows versions of WinRAR- Windows versions of RAR- Windows versions of UnRAR- Portable UnRAR source code- UnRAR.dll |
| Impact | Arbitrary code execution |
| Exploit Prerequisites | – User must extract a specially crafted malicious archive- Social engineering (phishing emails/malicious downloads)- No additional user interaction required after extraction |
| CVSS 3.1 Score | 8.4 (High) |
緩和策
すでに WinRAR の開発者は、2025年7月30日にリリースしたバージョン 7.13 で、この深刻な脆弱性に対処している。
このセキュリティ・パッチは、今回のディレクトリ・トラバーサルの脆弱性を具体的に修正するものであり、以前の脆弱性を修正した WinRAR 7.12 とは異なるものである。
なお、Unix 版の RAR/UnRAR/portable UnRAR source code/UnRAR Library/Android RAR は、この脆弱性の影響を受けない。今回の問題は、Windows 固有の脆弱性となる。
組織/個人のユーザーにとって必要なことは、WinRAR 7.13 以降のバージョンへと速やかにアップデートし、この脆弱性の悪用リスクを軽減することである。
推奨される追加の保護対策としては、圧縮ファイルを解凍する前の処理として、最新のエンドポイント検出ソリューションでスキャンすることが挙げられる。また、企業環境でのアーカイブ処理権限を制限して、潜在的な攻撃対象領域を最小限に抑えることも推奨される。
Windows 版 WinRAR に、ディレクトリ・トラバーサルの脆弱性が発見されました。特別に細工されたアーカイブを解凍すると、保存先の指定を回避して意図しない場所にファイルが展開されるため、攻撃者は重要なシステムディレクトリに悪意の実行ファイルを配置できます。すでに悪用も観測されているとのことです。ご利用のユーザーさんは、アップデートを お急ぎください。よろしければ、WinRAR で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.