WinRAR のゼロデイ CVE-2025-8088：エクスプロイト販売とフィッシングを介したマルウェア展開

CVE-2025-8088 – WinRAR 0-Day Path Traversal Vulnerability Exploited to Execute Malware

2025/08/15 CyberSecurityNews — WinRAR のゼロデイ脆弱性により浮き彫りになったのは、無防備なユーザーのシステムにマルウェアが侵入し得るという、人気ソフトウェアに対する継続的な脅威の存在である。このパス・トラバーサルの脆弱性 CVE-2025-8088 は、広く使用されているファイル・アーカイブ・ツールの Windows 版に影響を及ぼすものであり、細工したアーカイブを介して、攻撃者に任意のコード実行を許すものである。この脆弱性は、2025年7月中旬に発見されたものであるが、巧妙なフィッシング攻撃が蔓延する時代において、パッチ適用の遅延がもたらすリスクを示すものでもある。

この問題は、アーカイブの解凍時に、ファイル・パスが適切に処理されないことに起因し、Windows の Startup フォルダなどの許可されていない場所への、悪意のアーカイブ・ ファイル配置の可能性を引き起こす。代替データストリーム (ADS：alternate data streams) を悪用する攻撃者は、無害に見える RAR ファイル内に有害なペイロードを隠蔽し、解凍時におけるサイレント展開を可能にする。

この悪意の手法により、ユーザーが指定した正規のパスがバイパスされ、次回のログイン時に、リモートコード実行が引き起こされるという。Unix 版の RAR および関連ツールは影響を受けないが、Windows 版 バージョン WinRAR 7.13 未満を使用しているユーザーは、高いリスクに直面している。

この脆弱性の悪用には、少なくとも２つの脅威グループが関与している。１つ目は、ロシアと連携する RomCom (別名 Storm-0978) であり、2025年7月18日〜21 日にかけて、ヨーロッパとカナダの金融／製造／防衛／物流などの業界を標的とする攻撃を開始している。このグループは求職者を装い、偽装した履歴書に悪意のある RAR ファイルを添付するフィッシング・メールを配布し、SnipBot／RustyClaw／Mythic エージェントなどのバックドアを仕掛け、永続化とデータ窃取を狙っている。最近の RomCom は、脆弱性 CVE-2023-36884／CVE-2024-49039 の悪用を継続していたが、今回の脆弱性により３件目のゼロデイ・エクスプロイトとなる。

その一方で、２つ目の Paper Werewolf グループ (別名 GOFFEE) は、研究機関からの公式通信を模倣し、ロシアの組織に対して、この脆弱性を悪用している。これまでに検出された証拠によると、このエクスプロイトは、2025年6月下旬にダークウェブ・フォーラムで 、$80,000 で販売されていた可能性があるという。それが、複数の攻撃者へと急速に普及した理由であると、研究者たちは説明している。

WinRAR ゼロデイ・パストラバーサル・エクスプロイト

RAR アーカイブ内の疑わしい DLL を解析していた、ESET の研究者たちが、2025年7月18日の時点で、このゼロデイ脆弱性を発見した。その後の 7月24日に、研究者たちは WinRAR の開発者に通知し、2025年7月30日にはバージョン 7.13 がリリースされ、この問題は迅速に修正された。このパッチでは、パス・トラバーサルのメカニズムが修正され、不正な抽出パスが防止されている。

WinRAR には自動更新機能がないため、”Help” > “About WinRAR” でバージョン情報を確認し、公式サイトからソースをダウンロードする必要がある。すべてのユーザーに対して、強く推奨されるのは、速やかなアップデートである。さらに、%TEMP% ディレクトリや Startup ディレクトリをスキャンし、予期しないファイルの存在を確認する必要がある。また、メール・フィルタリングを強化して、RAR 添付ファイルをブロックする必要もあるだろう。

このインシデントで浮き彫りになったのは、ビジネス・コミュニケーションにおける圧縮ファイルの危険性である。この脆弱性の影響度は高いとされ、CVSS スコア は 8.8 と評価されている。

なお、オンラインで拡散しているデモ動画で、この脆弱性の仕組みが説明されているが、専門家たちは未検証の情報源に注意を促している。

2025年8月15日の時点において、標的型フィッシング以外の、大規模な攻撃は報告されていない。ただし、この脆弱性の公開により、模倣キャンペーンが活発化する可能性がある。

WinRAR のゼロデイ脆弱性 CVE-2025-8088 に対する、悪用が懸念されています。原因はパス・トラバーサルであり、アーカイブを解凍するときにファイルの保存先が正しく制御されない点にあります。そのため、攻撃者は細工した RAR ファイルを送りつけ、Windows の Startup フォルダなどの許可されていない場所に、悪意のファイルを隠し持つと、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、WinRAR で検索も、ご参照ください。