セキュリティニュース

IIJが警告 7-Zip非公式サイトが不正インストーラ配布 VPN機能持つマルウェア仕込む

インターネットイニシアティブ(IIJ)のセキュリティオペレーションセンター(SOC)は22日、圧縮・解凍ソフト「7-Zip」の非公式Webサイトが2026年1月から不審なファイルを展開するインストーラを配布していると注意喚起した。同サイトは検索エンジンで上位に表示されるため、誤ってダウンロードするケースが多いという。不正なインストーラは正規の7-Zipをインストールする一方で、VPN機能を持つ不審なプログラム「hero.exe」をシステム権限で自動起動するサービスとして登録する。IIJのSOCでは複数の顧客環境で当該ファイルの実行を確認しており、速報として公表した。

【3行要約】

何が起きた:7-Zipの非公式サイト(7zip.com)が2026年1月から不正なインストーラを配布。VPN機能を持つマルウェアを仕込む

影響:検索上位に表示され、IIJのSOCで複数顧客での実行を確認。攻撃者による端末へのリモートアクセスやファイル窃取の恐れ

対応:IIJが速報として注意喚起。公式サイト(7-zip.org)からのダウンロードを推奨

わかっていること・わかっていないこと

✓ わかっていること

  • 7-Zipの非公式サイト7zip.comが不正なインストーラを配布
  • 2026年1月のある時にWindows x64版・x86版のリンクがupdate.7zip.cloudに変更された
  • 不正なインストーラは正規の7-Zipに加えて不審なファイルをインストール
  • 不審なファイル「hero.exe」はC:\Windows\SysWOW64\heroに配置される
  • hero.exeは「Helper Service」としてSYSTEM権限でサービス登録される
  • hero.exeはVPN機能を持つ
  • IIJのSOCで複数の顧客での実行を確認
  • 7-Zipの公式サイトはhttps://www.7-zip.org/
  • インストーラのハッシュ値(SHA-256):408a89bc9966e76f3a192ecbf47b36fdc8ddaa4067aaee753c0bd6ae502f5cea

? わかっていないこと

  • 攻撃者の目的・正体
  • 被害件数の詳細
  • hero.exeの具体的な挙動
  • 実際にリモートアクセスやファイル窃取が行われたかどうか
  • 非公式サイトの運営者
  • Windows ARM版・Linux版・macOS版のリンクがいつから公式サイトへのリンクだったか

検索上位に表示される非公式サイトが不正インストーラ配布

IIJによると、7-Zipの公式Webサイトはhttps://www.7-zip.org/だが、検索エンジンで「7-Zip ダウンロード」などと検索すると、非公式のWebサイトが複数見つかるという。その内の1つである7zip.comについて、不審なファイルをインストールするものとして7-Zipのフォーラムで取り上げられているという。このWebサイトは検索すると上位に表示されることから、注意が必要だとしている。

当該Webサイトからのリンク先は、以前は正式な7-Zipのインストーラであったとの情報があるという。2026年1月22日時点においても、Windows ARM版・Linux版・macOS版などについては公式Webサイトへのリンクとなっており、同様の形式であったものと推測されるとしている。しかし2026年1月のある時にWindows x64版・x86版のリンクのみダウンロード先がupdate.7zip.cloudに変更されており、現在は不審なファイルを端末上に展開するものとなっているという。

正規の7-Zipに加えて不審なファイルをインストール

当該インストーラを実行すると、7-Zipのインストーラが実行されるという。IIJによると、2026年1月22日時点において、このインストーラには以下の特徴があるとしている。

第一に、当該インストーラは電子署名されているが、公式のインストーラは電子署名がされていない。第二に、インストーラのタイトルが「7-Zip 22.01 Setup」となっている。7-Zipのバージョン番号はリリース年となっており、当該ダウンロードサイトに記載されているバージョン番号は25.01だ。インストールされる7-Zipのバージョンも22.01だが、電子署名の日付は2026年1月となっており、日付関係に矛盾があるという。

VPN機能持つマルウェア SYSTEM権限で自動起動

このインストーラは7-Zipをインストールする他に、C:\Windows\SysWOW64\heroディレクトリを作成し、不審なファイルを配置するという。SysWOW64はWindowsのシステムファイルが配置されるディレクトリであり、この内容は64ビット版Windowsで32ビット版アプリケーションを実行するためのファイルだ。ライブラリ(DLL)ファイルなど一部のシステムに近いものを除き、通常ではこのディレクトリに個別のアプリケーションはインストールされないとIIJは説明している。

hero以下に配置されたhero.exeは「Helper Service」の名称でサービスとして登録され、Windowsが起動した際にSYSTEM権限にて自動的に実行されるという。

IIJによると、攻撃者の目的は不明だが、当該ファイルはVPN機能を持つようであり、攻撃者による端末へのリモートアクセスや、端末上のファイルを攻撃者のインフラにアップロードするなどの使われ方が想定されるとしている。

IIJのSOCで複数顧客での実行を確認

IIJのSOCにおいて、複数の顧客にて当該実行ファイルの実行を確認していることから、速報として内容を公表したという。

公式サイトからのダウンロードを推奨 wingetコマンドも利用可能

IIJは、7-Zipの公式サイトはhttps://www.7-zip.org/であるため、ダウンロードする際はそのドメインを確認するよう呼びかけている。Webアクセスの他に、7-Zipの場合はwingetコマンドを用いてインストールすることも可能だとしている。

タイムライン

時期 出来事
以前 7zip.comは正式な7-Zipインストーラへのリンクを掲載
2026年1月(日時不明) Windows x64版・x86版のリンクがupdate.7zip.cloudに変更され、不正なインストーラの配布開始
2026年1月 IIJのSOCで複数の顧客環境にて当該実行ファイルの実行を確認
日時不明 7-Zipのフォーラムで7zip.comが不審なファイルをインストールするものとして取り上げられる
2026年1月22日 IIJが速報として注意喚起を公表

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,