7-Zipにリモートコード実行可能な2件の脆弱性 早急なアップデートを：セキュリティニュースアラート

ファイル圧縮ソフト「7-Zip」で、ZIPファイル中のシンボリックリンク処理の不備に起因する2件の深刻な脆弱性が報告された。任意コードの実行につながる恐れがあり、迅速なアップデートが推奨されている。

[後藤大地，ITmedia]

　Zero Day Initiativeは2025年10月7日（現地時間）、ファイル圧縮・解凍ソフトウェア「7-Zip」に複数の深刻な脆弱（ぜいじゃく）性が存在することを報告した。これらの脆弱性を悪用されるとリモートの攻撃者が任意のコードを実行できる可能性がある。

　7-Zipは高い圧縮率と多様なファイル形式への対応を特徴とするオープンソースのファイルアーカイバーだ。独自形式の7zに加え、ZIP、RAR、TAR、GZIPなど多数の形式を扱え、「Windows」や「Linux」をはじめとする複数のプラットフォームで利用されている。シンプルな設計と無償提供により、個人から企業まで幅広い利用層を持つ。

シンボリックリンク処理の欠陥、任意コード実行の恐れ

　脆弱性は「CVE-2025-11001」および「CVE-2025-11002」として登録されている。どちらの脆弱性もZIPファイル中に含まれるシンボリックリンクの処理に不備があることに起因する。特定形式で構築されたZIPアーカイブを展開すると、意図しないディレクトリにアクセスしてしまう恐れがあり、この挙動を悪用することで攻撃者はサービスアカウントの権限で任意のコードを実行できる可能性がある。両脆弱性はいずれも共通脆弱性評価システム（CVSS）スコアで7.0、深刻度「重要」（High）と評価されている。

　脆弱性の悪用にはユーザーの操作が関与する。攻撃者は悪意のあるZIPファイルを作成し、ユーザーに7-Zipで開かせることで攻撃を成立させる可能性がある。具体的な攻撃経路は実装環境によって異なるが、ユーザーが不審なアーカイブを展開した場合に被害が発生する危険がある。Zero Day Initiativeは、影響を受ける7-Zipのインストール環境において適切なバージョン更新を実施することを強く推奨している。

　影響を受けるバージョンは以下の通りだ。

• 7-Zip 25.00より前の全てのバージョン

　修正済みバージョンは以下の通りだ。

• 7-Zip 25.00およびこれ以降のバージョン

　ZIPファイルのシンボリックリンク処理を誤る脆弱性は、他のファイルアーカイバーやバックアップソフトでも過去に報告例があり、展開時に意図しないパスにアクセスしてシステムのファイルの上書きや不正コード実行の危険が指摘されている。

　今回の7-Zipにおける問題も同様の性質を持ち、ユーザーの操作を誘導することで悪用可能となる。信頼できない送信元から提供されているZIPファイルを不用意に展開しないことが安全対策として有効となる。