圧縮ソフトウェア ユーザー グループの間では、WinRAR と 7-Zip の間でよく議論が行われます。しかし、最近暴露された根本的な脆弱性により、すべてのユーザーが同時に危機にさらされています。サイバーセキュリティ企業 Bombadil Systems の研究者 Chris Aziz 氏は、「Zombie ZIP」と呼ばれる重大なセキュリティ脆弱性を発見し、暴露しました。現在、VirusTotal にある 50 の主流のウイルス対策エンジンはどれも、このような問題のある ZIP ファイルを認識できません。
この脆弱性は、圧縮ファイルの基礎となるロジックの欠陥を悪用します。ユーザーがどの解凍ツールを使用しても、特別に改ざんされた悪意のある ZIP パッケージが開かれ、その中のファイルがクリックされる限り、ハッカーはコードを実行してシステムの制御を掌握することができます。
この脆弱性の核心は、ZIP ファイルのヘッダーの偽造にあります。調査によると、ほとんどのウイルス対策エンジンは、圧縮パッケージをスキャンするときに、そのパッケージ内の「メソッド」(圧縮方法) フィールドを盲目的に信頼しています。
ハッカーは、このフィールドを非圧縮状態を表す 0 に意図的に設定し、ウイルス対策エンジンにファイルが元のストレージ モードであると認識させ、解凍スキャンをスキップさせました。紛らわしい「圧縮ノイズ」が大量に読み取られるだけで、同伴された悪意のあるプログラムの署名はまったく識別できません。
同時に、ハッカーは、CRC チェック値を非圧縮状態の値に意図的に設定することで、WinRAR、7-Zip、その他のツールのエラー報告メカニズムをターゲットにしましたが、ZIP ファイルにカスタム DEFLATE アルゴリズム ローダーを埋め込み、解凍ツールが偽造ファイル ヘッダーを直接無視して、隠された悪意のあるコードを解放しました。
この二重の欺瞞方法により、ほぼ完璧なステルス効果が実現されます。ウイルス対策ソフトがファイルが安全だと誤判断し、解凍ツールが不正プログラムを正常に公開し、ユーザーがそれをクリックして実行してしまうと騙されてしまう。
Computer Emergency Response Team Coordination Center (CERT/CC) は、この脆弱性に番号 CVE-2026-0866 を割り当て、20 年以上前に初期の ESET ウイルス対策ソフトウェアに影響を与えた CVE-2004-0935 脆弱性と非常によく似ていると指摘しました。
CERT/CCは、ウイルス対策エンジンはZIPファイルのメソッドヘッダーを盲目的に信頼すべきではなく、圧縮フィールドと実際のデータを相互検証し、異常な構造を持つ圧縮パッケージを識別するメカニズムを追加する必要があると警告している。
メーカーがパッチをリリースする前に、ユーザーは出所不明の ZIP ファイルを扱う際には細心の注意を払う必要があり、中のファイルを安易にクリックしないでください。