7-Zip の RCE 脆弱性 CVE-2025-11001 が FIX：PoC 公開後に実環境での悪用が加速

Hackers Actively Exploiting 7-Zip RCE Vulnerability in the Wild

2025/11/19 CyberSecurityNews — 7-Zip の深刻なリモート・コード実行の脆弱性 CVE-2025-11001 を積極的に悪用するハッカーにより、人気のファイル・アーカイバを利用する多数のユーザーが、マルウェア感染やシステム侵害の危険にさらされている。この欠陥は、ZIP アーカイブ内のシンボリック・リンクの不適切な処理に起因するものであり、攻撃者は脆弱なシステム上でディレクトリをトラバースし、任意のコードを実行できる。2025年10月に公表された CVE-2025-11001 は、権限昇格を必要とせずに広範な悪用が可能であることから、CVSS v3 スコア 7.0 と評価されている。

7-Zip の RCE 脆弱性が悪用される

細工されたシンボリック・リンクを含む ZIP ファイルの解析時に、脆弱性 CVE-2025-11001 が悪用されると、7-Zip は意図した解凍ディレクトリ外にファイルを書き込むように誘導され、ディレクトリ・トラバーサルが発生する。その結果として、攻撃者は重要なシステム・ファイルの上書きや悪意あるペイロード挿入を行い、このアプリケーションを実行しているユーザー／サービス・アカウントの権限でコード実行を引き起こす可能性を得る。

Trend Micro – Zero Day Initiative (ZDI) のセキュリティ研究者は、この脆弱性を悪用する攻撃者が、サンドボックス環境を回避し得る手法を詳細に説明している。特に懸念されるのは、エンタープライズ環境の自動ファイル処理において、重大なリスクが生じる点である。

この脆弱性は、GMO Flatt Security の Ryota Shiga が、同社の AI 搭載 AppSec Auditor ツールを用いて発見し、速やかに 7-Zip の開発者に報告したものだ。その後に PoC エクスプロイトが公開され、悪意の ZIP ファイル内のシンボリック・リンク処理により任意のファイル書き込みが生じ、特定の状況では直接的なリモート・コード実行にいたることが実証された。

この PoC により、脅威アクターの参入障壁が低下しており、実環境での攻撃が加速している。注目すべきは、この攻撃で必要なことが、最小限のユーザー操作に集約されている点だ。つまり、トラップが仕掛けられたアーカイブを開くか解凍するだけで、この攻撃は成立する。それは、フィッシングやドライブ・バイ・ダウンロードで一般的に用いられる手口と一致する。

また、この欠陥は単独の問題ではなく、2025年7月にリリースされた 7-Zip バージョン 25.00 では、関連する脆弱性 CVE-2025-11002 (CVSS：7.0) も修正されている。いずれの脆弱性も、シンボリック・リンク処理の不備という共通の根本原因を持っている。

これらの２つの脆弱性はバージョン 21.02 で発生するものであり、世界中で１億人を超える Windows ユーザーが圧縮タスクに使用する 7-Zip に影響を与えている。また、初期の兆候が示すのは、ファイル処理を日常的に行う医療や金融などの分野において、パッチ未適用のシステムが攻撃者に狙われている状況である。

英国の NHS England Digital は、CVE-2025-11001 の悪用が確認されたことを受け、2025年11月18日の時点で緊急勧告を発出し、リスク軽減のために直ちにアップデートを実施するよう強く求めている。

このリモート・コード実行の脆弱性を悪用する攻撃者は、ランサムウェアの展開／機密データの窃取／永続的なバックドアの設置などを可能にする。それに伴い、侵害されたアーカイブが電子メールや共有ドライブを介して拡散する、サプライチェーン攻撃の危険性が増大する可能性もある。また、大量のファイル操作に 7-Zip を使用している組織では、自動解凍によりマルウェアがネットワーク全体へと静かに拡散する可能性があるため、さらに脅威が高まっている。

この脅威に対抗する組織／個人ユーザーは、公式サイトから入手可能な、7-Zip のバージョン 25.00 以降へとアップデートする必要がある。このバージョンでは、パス正規化が強化され、パス・トラバーサル攻撃がブロックされる。この修正により、脆弱性 CVE-2025-11001／CVE-2025-11002 が無効化され、シンボリック・リンクによる解凍範囲の逸脱が阻止される。

前述のとおり、この脆弱性の影響を受けるプラットフォームは、7-Zip のバージョン 25.00 以前の Windows 版であり、現時点で Linux／macOS 版への影響は報告されていない。

7-Zip の脆弱性 CVE-2025-11001 は、ZIP 内のシンボリック・リンクを正しく扱えていないことに起因し、意図しない場所へファイルを書き込めてしまうという問題を引き起こします。細工されたアーカイブを開くだけで攻撃が成立するため、技術的に高度な手口を用いなくても、容易に悪用できる状況になっています。また、自動解凍処理を使う環境では影響範囲が広がりやすい点も心配です。PoC も登場していますので、ご利用のチームは、ご注意ください。よろしければ、CVE-2025-11001 で検索を、お試しください。