インシデントの種類とターゲット、原因
インシデントの種類: 脆弱性
ターゲット: 7-Zipファイルアーカイバーソフトウェア
原因: Mark-of-the-Web (MOTW)保護メカニズムを回避する脆弱性(CVE-2025-0411)。この脆弱性は、インターネットからダウンロードされたアーカイブが展開される際に、ファイルがMOTWマークを継承しないようにすることで、攻撃者が悪意のあるコードを実行する可能性を高めます。
MOTWとは
Windowsのセキュリティ機能で、インターネットからダウンロードしたファイルを識別・追跡するために使用されます。
ソフトウェアをダウンロードして展開する際に、OSがこのMOTWに基づいてソフトウェアの提供元が信頼できるかをチェックし、怪しい場合は警告を出すというようなものです。
影響を受けるシステム
影響を受けるソフトウェア: 7-Zipバージョン24.09未満のユーザーが使用するすべてのシステム。
影響範囲: 特に、Windows OS上でMOTWメカニズムを利用している環境。
対策
ソフトウェア更新: 7-Zipをバージョン24.09以上に更新すること。
組織内の対応: 組織で使用されている場合、集中管理ツールを用いた更新や、すぐに更新が必要である旨の通知を行うこと。
セキュリティソフトウェア: Kasperskyなどのセキュリティ製品を使用して自動的に更新する。
脆弱性によって何ができる?
悪用可能性: 攻撃者は、この脆弱性を利用してMOTWマークを回避し、ユーザーの権限で悪意のあるコードを実行することが可能になります。
攻撃手法: マルウェアやその他の悪意のあるプログラムをユーザーに誤って実行させるための一環として利用される可能性があります。
この脆弱性は、単体ではなく、より広範な攻撃戦略の一部として悪用されることを意図しています。
脆弱性のある7-Zipをインストールすることをきっかけに、情報漏洩や内部プログラムの意図しない書き換えが行われる可能性があります。
Note
https://www.kaspersky.com/blog/cve-2025-0411-motw-subvert/52907