セキュリティの脆弱性に気が付き、7-Zipをバージョンアップした話

１．はじめに📚

ファイルの圧縮および解凍によく使われているもので、「7-Zip」があります。
7-Zipはオープンソース(プログラムを公開している)のフリーソフトウェアです。ソフト自体に何らかの悪意ある処理を埋め込むことは多くの有識者が監視しているので困難です。

２．オープンソースの弱点😱

プログラムの中身を公開するということは、条件判定や繰り返し処理、エラー処理なども解析できるということです。
悪意のある者は、例外判定や無限ループ、エラー時に処理を強制終了させる方法を検討することができます。

３．7-Zipの脆弱性😫

先日、「7-Zip」の脆弱性を利用してロシアがウクライナを攻撃していたことが報じられました。

ロシアが圧縮・解凍ツール「7-Zip」の脆弱性を悪用してウクライナを攻撃していたことが発覚

要約すると、通常Windowsが「潜在的に危険なアプリケーションが存在する」と判断した場合、MoTW(Mark-of-the-Web)機能が警告を表示します。

MoTWの警告イメージ

複数のファイルを選択して「7-Zip」で圧縮する「アーカイブ作成機能」を用いて、悪意あるプログラムを埋め込んだファイルに二重圧縮を行うとMoTW(Mark-of-the-Web)機能が働かない圧縮ファイルが出来上がります。

４．実行ファイル名の巧妙さ🦎

実行可能ファイルの拡張子は「ホモグリフ」と呼ばれるものでレンダリングされていました。これらは、特定のASCII文字と同一または類似しているように見えるものの、実際は全く違う文字というもの。一例として、ASCII文字の「C」とキリル文字の「С」があります。
例えば以下のファイル名だとぱっと見区別がつきません。

○○○○.doc(ASCII文字)
○○○○.doс(キリル文字)

キリル文字側はドキュメント(Word文書)に見せかけた実行ファイルです。
実行ファイルを開く(ダブルクリック)すると圧縮ファイル内にある他のJavaScript(.js)やWindowsショートカット(.url)がMoTW保護なしで実行されてしまいます。
被害は地方自治体など比較的小規模で済みましたが、容易にマネができるのが恐ろしいところです。

５．対応🛠️

脆弱性を発見したトレンドマイクロは2024年10月に「7-Zip」の開発者「イゴール・パブロフ氏」に報告し、2024年11月末にこの脆弱性を修正した「バージョン24.09」がリリースされています。

６．対応🙆

私は以下手順で「7-Zip」をアップデートしました。

６－１．画面左下のWindowsマークを右クリックし、設定を選択

Windowsマークを右クリック

６－２．設定画面左側のアプリを選択し、インストールされているアプリをクリック

設定画面左側(真ん中あたり)を選択

６－３．右上にある「並べ替え」で「名前(昇順)」を選択

数字から始まる名前なので上の方に表示(画面は「24.09」で更新済)

アプリの名前の最後が「24.09」より前(「24.07」、「24.08」など)なら、
「６－４．」以降を実施します。
「24.09」以降なら、そのままで大丈夫です。

６－４．「7-Zip」の公式ホームページから「24.09」をダウンロード

圧縮・解凍ソフト 7-Zip

６－５．「7-Zip XX.XX」右端の「…」を選択し、アンインストール(XX.XXは24.09より前の数値)

６－６．ダウンロードしたファイルを右クリックし、「管理者として実行」をクリック

６－７．「デバイスに変更を加えることを許可」に「はい」を選択

６－８．表示されたSetup画面でInstallを選択

Setupg画面

６．９．再度６－１．～６－３．の操作を行い、アプリの名前の最後が「24.09」以降なら成功

７．最後に🔚

普段使用しているソフトウェアについて、利便性が向上しない限り、アップデートは早々しないのが一般的でしょう。
Windows11の「24H2」ようにセキュリティの向上という名の利便性を声高に喧伝してバグをまき散らしてしまうこともあるので、情報収集には気を使う必要があることを実感します。
それでは、またの機会に。