WinRAR の脆弱性 CVE-2025-8088:依然として悪用が止まらないと Google が警告

Google Warns of WinRAR Vulnerability Exploited to Gain Control Over Windows System

2026/01/28 CyberSecurityNews — Windows 環境で多用されるファイル圧縮ツールの一つである、WinRAR に存在する深刻なセキュリティ上の欠陥が、コンピュータ・システムへの不正アクセスを狙う攻撃者にとって格好の攻撃手段となっている。この脆弱性 CVE-2025-8088 を悪用する攻撃者は、ユーザーに知られることなく、機微なシステム・ディレクトリ上に、悪意のファイルを配置し得る。その結果として、Windows マシンの制御が攻撃者に奪取される可能性がある。

このセキュリティ上の欠陥は、2025年7月の時点で最初の悪用が確認されている。2025年7月30日前後で修正パッチが提供されたが、現在も数百万のユーザーが危険な状態にあるという。

この脆弱性は、ロシアや中国に関連するとされる政府支援型の諜報活動から、金銭目的で企業を標的とする犯罪者に至るまで、多種多様な攻撃者グループの注目を集めている。

この脆弱性を武器化する攻撃者たちは、マルウェア配布/認証情報の窃取/侵害済みシステムへの永続的なアクセス確立を行っている。

パストラバーサルの欠陥を悪用するよう細工された、RAR アーカイブ・ファイルを作成するという攻撃手法により、被害者のコンピュータ上の任意の場所にファイルを書き込むことが可能となる。

Google Cloud の研究者たちが確認したのは、ウクライナの軍隊/政府機関/テクノロジー企業に加えて、宿泊業や銀行業を含む商業分野を標的とする複数のキャンペーンで、この脆弱性が広範に悪用されている実態である。

Timeline of notable observed exploitation (Source - Google Cloud)
Timeline of notable observed exploitation (Source – Google Cloud)


この脆弱性を悪用する攻撃者が、Windows のスタートアップ・フォルダに、悪意のファイルを配置していることを、研究者たちは確認している。これにより、被害者がシステムにログインするたびに、マルウェアが自動的に実行される。

2023年に確認された、過去の WinRAR 脆弱性の CVE-2023-38831 の悪用パターンと、今回の手法は酷似している。それが示すのは、攻撃者が未パッチのソフトウェアを繰り返し悪用する実態である。

ユーザーにとって必要なことは、WinRAR バージョン 7.13 以降への速やかなアップデートである。この更新を実施していない組織および個人ユーザーは、この脆弱性の影響を受け続ける。

セキュリティ専門家たちが強調するのは、修正が提供された後も、攻撃者が既知の脆弱性を長期間にわたり悪用し続けている点である。

Google が推奨するのは、エクスプロイトを含むファイルを積極的にブロックする、Safe Browsing および Gmail のセキュリティ機能の利用である。

攻撃者による脆弱性の悪用方法

今回の攻撃手法の中核は、Windows ファイル・システムの機能である Alternate Data Streams (ADS) の操作にある。この機能を悪用する攻撃者は、悪意のコンテンツを隠蔽する。

被害者が武器化された RAR アーカイブを開くと、PDF などの無害に見えるドキュメントが表示されるが、その一方では、重要なシステム領域へと悪意のファイルが秘密裏に展開される。

攻撃者は、ディレクトリ・トラバーサル文字を用いてファイル・パスを細工することでフォルダ構造を遡り、Windows のスタートアップ・ディレクトリへと到達する。

Ukrainian language decoy document from UNC4895 campaign (SOurce - Google Cloud)
Ukrainian language decoy document from UNC4895 campaign (SOurce – Google Cloud)

たとえば、悪意のアーカイブに含まれる “innocuous.pdf:malicious.lnk” という名前のファイルにより、スタートアップ・フォルダへ直接書き込まれるようパスが細工される。目的の場所に配置された悪意のファイルは、ユーザーが次にログインする際に自動的に実行され、追加の操作を必要とせずに、攻撃者に対して永続的な制御を提供する。

この悪意の手法は、UNC4895/APT44 といったロシア系グループによるウクライナ標的攻撃や、中国系アクターによる POISONIVY マルウェア展開、さらには、インドネシア/ラテンアメリカ/ブラジルでのリモートアクセス・ツールや情報窃取型マルウェアの配布といった、複数のキャンペーンで有効性が確認されている。

数多くの Windows ユーザーに愛用される、ファイル圧縮/解凍ソフト WinRAR で発見された深刻な脆弱性 CVE-2025-8088 が、大規模な攻撃に悪用され続けています。この問題の本質は、アーカイブ・ファイルを解凍する際のパスの検証不備にあり、攻撃者が作成した悪意のファイルを開くだけで、システムが乗っ取られる危険性があります。

この脆弱性により許されてしまうのは、ディレクトリ・トラバーサル (パストラバーサル) と呼ばれる手法による攻撃です。通常、ファイルを解凍すると指定したフォルダ内に展開されますが、攻撃者は特殊な文字 “../” などをファイル名に含めることで、フォルダ構造を遡り、本来アクセスできないはずのシステム領域にファイルを書き込みます。ご利用のチームは、いま一度、ご利用のバージョンを、ご確認ください。よろしければ、CVE-2025-8088 での検索結果も、ご参照ください。