2026年1月に入り、Google Threat Intelligence Group(GTIG)は、極めて深刻な警鐘を鳴らした。Windows環境における定番のファイル圧縮・解凍ツール「WinRAR」に存在した脆弱性(CVE-2025-8088)が、修正パッチの公開から半年が経過した現在もなお、国家主導のスパイ活動や金銭目的のサイバー犯罪において「主力兵器」として悪用され続けているという事実だ。

一見すると、単なるソフトウェアのアップデート漏れの問題に思えるかもしれない。だが、Googleが公開したレポートや関連するセキュリティ報道を詳細に分析すると、そこには単なる「不注意」では片付けられない、攻撃者たちの巧妙な計算と、アンダーグラウンドにおける攻撃ツールの「コモディティ化」という構造的な脅威が浮かび上がってくる。

AD

「見えない脅威」の正体:ADSとパストラバーサルの悪用

攻撃の中核にあるのは、WinRARにおけるパストラバーサル(Path Traversal)の脆弱性だ。この脆弱性は2025年7月に発見され、同月30日にリリースされたバージョン7.13で修正されている。しかし、攻撃者は未修正のバージョンを使用しているユーザーを狙い撃ちにし続けている。

仕組み:無害なPDFの裏に潜む罠

この攻撃の手口は、Windowsのファイルシステム特有の機能であるADS(Alternate Data Streams:代替データストリーム)を悪用するものだ。ADSは、一つのファイルに対して、メインのデータとは別に「隠しデータ」を付与できるNTFSファイルシステムの機能である。

通常、ユーザーがWinRARでアーカイブを開くと、「請求書.pdf」や「会議資料.pdf」といった無害なファイルが表示される。しかし、攻撃者はこのファイルに悪意のあるADSを仕込んでいる。

  1. おとりの展開: ユーザーがアーカイブ内のPDFなどを開くと、実際にそのドキュメントが表示され、ユーザーは安心する。
  2. 裏での実行: 同時に、攻撃者が仕込んだADS(例:innocuous.pdf:malicious.lnk)が展開される。
  3. スタートアップへの潜伏: ここでパストラバーサルの脆弱性が牙をむく。ファイル名に ../../ といったディレクトリを遡る記述を含めることで、WinRARの解凍先指定をすり抜け、Windowsのスタートアップフォルダ(Startup Folder)に悪意のあるショートカット(LNKファイル)やスクリプト(BAT, CMD)を直接書き込む。

結果として、ユーザーが次にPCにログインした瞬間、スタートアップフォルダ内の不正プログラムが自動的に実行され、攻撃者は永続的なシステム制御権を獲得することになる。ユーザーが異変に気づくことは極めて困難だ。

国家主導のサイバー諜報戦:ロシアと中国の影

Googleの脅威インテリジェンスチームが特に警戒を強めているのが、この脆弱性が国家の支援を受けた攻撃グループ(APT)によって、地政学的な目的で利用されている点だ。特にロシアとウクライナの紛争に関連する活動が顕著である。

ロシア関連グループによるウクライナ標的

ロシアとの関連が疑われる複数のグループが、ウクライナの軍事・政府機関を標的に、この脆弱性を利用した攻撃キャンペーンを展開している。

  • UNC4895 (別名: RomCom/CIGAR):
    このグループは、金銭目的と諜報活動の両方を行うハイブリッドな性質を持つ。彼らはウクライナ軍事部隊を標的としたスピアフィッシングメールを展開し、軍事関連のルアー(おとり)文書を用いてターゲットを欺く。最終的に展開されるのは「NESTPACKER(別名: Snipbot)」と呼ばれるマルウェアだ。
  • APT44 (別名: FROZENBARENTS):
    ロシアの諜報機関との関連が指摘されるこのAPTグループは、ウクライナ語のファイル名を装ったおとりファイルを使用し、LNKファイルを介してさらなる攻撃ツールをダウンロードさせる手口を用いている。
  • TEMP.Armageddon (別名: CARPATHIAN):
    ウクライナ政府機関を執拗に狙うこのグループは、2026年1月現在も活動を継続しており、HTA(HTML Application)ファイルをスタートアップフォルダに送り込む手法を採用している。
  • Turla (別名: SUMMIT):
    高度な技術を持つことで知られるTurlaもこの脆弱性を採用し、ウクライナ軍の活動やドローン運用に関連するテーマを装って「STOCKSTAY」マルウェアスイートを展開している。

中国関連のアクター

ロシアだけでなく、中国(PRC)を拠点とする攻撃グループもこの脆弱性に目をつけた。彼らはスタートアップフォルダにBATファイルをドロップし、そこから悪名高い「POISONIVY」マルウェアをダウンロードさせる攻撃チェーンを構築していることが確認されている。

AD

金銭目的のサイバー犯罪と「攻撃の民主化」

国家レベルのスパイ活動と並行して、金銭的利益を追求するサイバー犯罪者たちも、この脆弱性を「飯の種」にしている。

  • 南米・アジアでの拡散:
    インドネシアではDropboxを悪用したバックドアの配布、ブラジルでは銀行口座情報を盗み取る悪意あるChrome拡張機能のインストール、ラテンアメリカではホテル予約を装ったフィッシングメールによる「XWorm」や「AsyncRAT」といったコモディティ(既製品)マルウェアの拡散に、このWinRARの脆弱性が利用されている。

エクスプロイト供給者「zeroplayer」の存在

Googleのレポートで特筆すべきは、こうした攻撃ツールを供給するアンダーグラウンド市場の存在だ。「zeroplayer」と名乗るアクターは、WinRARのエクスプロイトを2025年7月の時点で販売していた。

さらに驚くべきは、この供給者が扱っている商品のラインナップと価格帯だ。

  • Microsoft Office サンドボックス回避(RCE): 30万ドル(約4500万円)
  • Windows ローカル特権昇格(LPE): 10万ドル(約1500万円)
  • EDR/ウイルス対策ソフト無効化: 8万ドル(約1200万円)

WinRARの脆弱性がこれらの「高級品」と並んで販売されている事実は、攻撃のライフサイクルが商品化(コモディティ化)されていることを意味する。高度な技術を持たない犯罪グループでも、対価さえ支払えば、国家レベルの攻撃能力(またはそれに準ずる初期侵入能力)を容易に手に入れられる時代になったということだ。

N-day脆弱性の脅威と防御のパラドックス

CVE-2025-8088は、すでに修正パッチが存在する「N-day(既知)」の脆弱性だ。本来であれば、ソフトウェアをアップデートすれば防げるはずの攻撃である。しかし、なぜこれほどまでに被害が拡大するのか。そこにはいくつかの要因がある。

  1. ツールの普遍性と軽視: WinRARのようなユーティリティソフトは一度インストールすると放置されがちで、OSやブラウザほど頻繁にアップデートされない傾向がある。
  2. 攻撃の信頼性: 攻撃者にとって、ゼロデイ(未知の脆弱性)は高価で貴重だが、N-dayは安価で、かつパッチ未適用の広大なターゲット層に対して確実に機能する「コストパフォーマンスの良い」武器となる。
  3. Windows標準機能との競合: 皮肉なことに、Windows 11ではRAR形式のネイティブサポートが追加されたため、ユーザーはWinRARを積極的に管理・更新する動機を失っている可能性がある。しかし、古いバージョンがシステムに残っている限り、脆弱性の穴は開いたままである。

AD

今、組織とユーザーが取るべき行動

Googleおよびセキュリティ専門家は、以下の対策を強く推奨している。

1. 即時のアップデート

WinRARを使用している場合、バージョンが7.13以降であることを直ちに確認する必要がある。バージョン情報の確認はソフトの「ヘルプ」メニューから可能だ。もし使用していないのであれば、アンインストールすることで攻撃対象領域(Attack Surface)を減らすことができる。

2. Google Safe BrowsingとGmailの活用

Googleは、このエクスプロイトを含むファイルを能動的に識別し、ブロックする機能をSafe BrowsingとGmailに実装している。これらのセキュリティ機能を有効にし、警告が表示された場合は絶対にファイルを解凍してはならない。

3. 可視化と検知

組織のセキュリティ担当者は、単なるパッチ適用にとどまらず、侵入後の挙動(Post-Exploitation)を監視する必要がある。特に、スタートアップフォルダへの不審なファイル書き込みや、LNK、BAT、HTAファイルの突然の出現は、侵害の明確な兆候(IOC)となり得る。

境界線の消失

今回の事例が示唆するのは、国家主導の高度な諜報活動と、金銭目的のサイバー犯罪の境界線がかつてないほど曖昧になっているという現実だ。WinRARの脆弱性という一つの「ドア」を、スパイも泥棒も同時にくぐり抜けようとしている。

「たかが解凍ソフト」という油断は禁物だ。その小さな穴は、組織の機密情報や個人の資産を奪うための巨大なトンネルへと繋がっている。デジタル空間における衛生管理の徹底こそが、唯一にして最大の防御策となる。


Sources