圧縮解凍ソフト「WinRAR」において、Windowsのセキュリティ機能「Webのマーク(MotW)」を回避し、任意のコードを実行できる脆弱性(CVE-2025-31334)が確認された。影響を受けるのは最新版7.11を除くすべてのバージョンであり、特に実行ファイルへのシンボリックリンクを介した攻撃が可能とされている。

この問題は、日本の情報処理推進機構(IPA)を通じて三井物産セキュアディレクションの島峰太平氏が報告し、国内のCSIRTが開発元と調整を行った。脆弱性の深刻度はCVSSスコア6.8とされ中程度だが、過去には国家支援型攻撃者が類似の手法を利用しており、警戒が必要とされる。

WinRARは既に修正版をリリースしており、ユーザーに対して速やかなアップデートが推奨される状況にある。

実行ファイルへのシンボリックリンクがもたらすMotWバイパスの実態

CVE-2025-31334として報告されたWinRARの脆弱性は、WindowsにおけるMotW(Mark of the Web)のセキュリティ警告を回避可能とする点に深刻な問題がある。

具体的には、WinRAR 7.11未満のバージョンで、実行ファイルに対するシンボリックリンクを経由することで、MotWによる警告を意図的にスキップし、ユーザーの同意なしにコード実行を可能とする。この仕組みを利用すれば、正規の圧縮ファイルを装った悪意あるアーカイブから、セキュリティ警告なしにペイロードを実行させることができる。

MotWはzone-identifierとしてファイルに付与されるメタデータであり、インターネット経由のファイルに起因するリスクをユーザーに警告する役割を持つ。

しかし、WinRARシェルがシンボリックリンク先の実行ファイルにこのデータを適切に引き継がなかったことが、今回の問題の根幹にある。管理者権限が必要とはいえ、企業ネットワーク内で権限を獲得した攻撃者による悪用の可能性は否定できず、十分な対策が求められる状況である。

日本の報告体制が示す国際的な責任ある開示の実例

今回の脆弱性は、日本の三井物産セキュアディレクションに所属する島峰太平氏によって発見され、情報処理推進機構(IPA)を通じて報告された。さらに、日本国内のCSIRTが開発元であるWinRARと連携し、責任ある開示のプロセスを主導した。国際的な開発体制の中で、日本の技術者と組織が果たした役割は大きく、セキュリティ分野における信頼構築と影響力の強化を象徴する動きといえる。

一方で、このプロセスの中で示された対応スピードと透明性の確保は、今後の脆弱性報告体制のモデルケースともなり得る。技術者の発見力だけでなく、それを組織としてどう扱い、どのように世界へと繋ぐかが問われる時代において、日本の事例は十分な示唆を含んでいる。国際的なセキュリティ連携が前提となる今、こうした一連の動きは決して一過性の事例に留まらない価値を持つ。

MotW回避技術の応用と、セキュリティ設計上の盲点

WinRARに限らず、近年のアーカイブソフトにおいてMotWを回避する手法は複数確認されている。ロシアのハッカーによる7-Zipの脆弱性悪用事例では、二重アーカイブを利用してMotWの継承を防ぎ、Smokeloaderマルウェアを拡散するドロッパーが使用された。こうしたMotW無効化技術の発展は、Windowsのセキュリティ設計における根本的なアプローチの再検討を促すものである。

Windows側ではMotWの警告表示に依存する防御設計をとってきたが、アーカイバやファイル構造を経由した迂回手法が成立する以上、ユーザーの判断に委ねるだけでは不十分である。

今後はファイル展開や解凍時のセキュリティ検査強化、実行ファイルの出自確認機構の刷新といった、多層的な防御設計が必要とされる。セキュリティ機能が回避可能であるという現実を前提に、どこに信頼の境界線を設けるかが改めて問われている。

Source:BleepingComputer