【速報】7-Zipの偽サイトに警戒を!IIJがマルウェア混入のインストーラーを確認
1月22日、インターネットサービスの国内大手であるIIJのセキュリティチーム(SOC)が、非常に重要な注意喚起を行いました。
便利で愛用者の多い圧縮・展開ソフト「7-Zip」の非常に巧妙な偽ダウンロードサイトが検索結果の上位に出現しており、マルウェアを仕込まれたインストーラーが配布されていることが判明しています。
複数の企業で実被害も確認
今回の警告によると、問題となっているのは非公式ウェブサイト「7zip.com」。
このサイトで配布されている Windows(x64/x86版)用のリンクが、悪意のあるファイルをインストールさせるURLに差し替えられているようことです。
IIJの複数の顧客環境において、実際にこの不審なファイルが実行された形跡が確認されています。
つまり、「誰かが引っかかるかもしれない」という予測ではなく、「すでに実被害が出始めている」わけです。
公式サイトとの違いは?
問題となっているサイトは 「7zip.com」 です。
(※本物の公式サイトは www.7-zip.org です)
このサイトの厄介な点は、以前は正規のファイルを配布していた形跡があり、現在も一部のバージョン(MacやLinux版など)は公式へリンクしていることです。
しかし、Windows版(x64/x86)のリンクだけがすり替えられています。
ここからダウンロードすると、7-Zip本体と一緒に「悪意のあるプログラム」がインストールされてしまいます。
偽インストーラーの見分け方と挙動
皮肉なことに、偽物の方が「ちゃんとして見える」のが特徴です。
電子署名の有無➡️偽物には「電子署名」がありますが、本物の公式版には署名がありません。 署名があるからと安心せず、入手先を確認してください。
潜伏➡インストールすると、システム内の SysWOW64 フォルダに 「hero」 という隠しフォルダが作られます。
恐ろしい実態➡️ここに配置される「hero.exe」は、Windowsサービスに自動登録され、SYSTEM権限(最高権限)で勝手に実行されます。
このプログラムはVPN機能を持っており、攻撃者にPCを遠隔操作されたり、中のデータを外部に盗み出されたりするリスクがあります。
被害に遭わないための対策
7-Zipを導入・更新する際は、必ず以下のいずれかの方法で行いましょう。
①URLを徹底確認
必ずドメインが www.7-zip.org であることを確認してください。
②コマンドでインストール
Windows標準のパッケージマネージャー 「winget」 を使うのが最も安全です。
wingetでのインストール手順
コマンドプロンプトやPowerShellで以下のコマンドを打つだけです⬇️
winget install 7zip.7zip
「検索して一番上に出てきたから」と油断せず、常にURLを確認する癖をつけましょう!
関連リンク
※新規タブで開きます
