メディア

7-Zipに深刻な脆弱性　旧バージョンは早急なアップデートを：セキュリティニュースアラート

NHS Englandは7-Zipの重大脆弱性「CVE-2025-11001」が悪用されていると発表した。ZIPファイル内のシンボリックリンク処理に起因し、任意コード実行につながる恐れがある。早急な更新が推奨される。

» 2025年11月21日 08時00分公開

この記事は会員限定です。会員登録すると全てご覧いただけます。

　英国国民保健サービス（NHS）のデジタル部門は2025年11月18日（現地時間）、圧縮・解凍ソフトウェア7-Zipに関する脆弱（ぜいじゃく）性（CVE-2025-11001）について、悪用事例を確認したと発表した。この脆弱性が悪用されると、リモートの攻撃者が任意のコードを実行できる可能性がある。対象となるのは7-Zip 25.00より前の全てのバージョンとされている。

ZIPファイル処理の欠陥でリモート攻撃、7-Zipユーザーは急ぎ更新を

　CVE-2025-11001はZero Day Initiativeが2025年10月7日に報告した7-Zipに存在する重大なセキュリティ脆弱性だ。この脆弱性はZIPファイルに含まれるシンボリックリンクの処理過程に起因するとされ、細工したZIPファイルを扱った際に処理が想定外のディレクトリへ移動する点が問題とされている。本来の展開先とは異なる場所にファイルが書き込まれる可能性があり、特定条件下で任意コード実行に至る可能性がある。NHSのアラートでは実際に悪用を観測したと明記されている（参考「7-Zipにリモートコード実行可能な2件の脆弱性　早急なアップデートを：セキュリティニュースアラート - ITmedia エンタープライズ」）。

　同局の発表によると、この脆弱性の概念実証（PoC）がセキュリティ研究者によって公開されているという。PoCはシンボリックリンク処理の不備を利用してZIP展開時に意図外の領域へ書き込みを実行できることを証明しており、悪用可能性を示す要素とされている。

　NHSは、組織に対し7-Zipの更新を強く推奨している。特に25.00より古いバージョンを使用している環境では速やかに更新することで攻撃のリスクを低減できるとしている。

　発表では悪用の具体的状況や攻撃者像、利用されている攻撃手法の詳細に関する追加情報は明示されていない。ただし、実際に悪用が進行している状況が確認されている以上、未更新環境でのリスクは高いとみられる。7-Zipは広範囲で利用されているソフトウェアであり、ZIPファイルを扱う業務の多い環境では特に注意が必要となる。

7-Zipにリモートコード実行可能な2件の脆弱性　早急なアップデートを
ファイル圧縮ソフト「7-Zip」で、ZIPファイル中のシンボリックリンク処理の不備に起因する2件の深刻な脆弱性が報告された。任意コードの実行につながる恐れがあり、迅速なアップデートが推奨されている。
ついに始まった「AIが自律的に攻撃する日」　調査で判明した衝撃のClaude Code悪用事例
AnthropicはAIが主体となった高度なサイバー諜報活動を初確認し、Claude Codeが多段階攻撃の大部分を自律遂行したと報告した。AIの悪用によって未熟な攻撃者でも大規模攻撃を可能とする現状を浮き彫りにしている。
アップデート1つで運命が変わる？　放置された機器が“攻撃者の資産”になる瞬間
ランサムウェア攻撃の背後でいま静かに広がっているのが“ネットワーク機器”を踏み台にした侵入です。VPN機器や家庭用ルーター、さらにはスマート家電まで──常時接続のデバイスが全て攻撃対象になる中、現実的な備えはあるのでしょうか。
「英数・記号の混在」はもう古い　NISTがパスワードポリシーの要件を刷新
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。
大企業の“6割超”がVPN機器の脆弱性を即時特定できず　調査で明らかに
アシュアードは脆弱性管理クラウド「yamory」によるVPN機器のセキュリティ対策実態調査結果を公表した。VPN機器の資産情報不足や人手不足が特定遅延を招き、半数近くが対応遅延を経験している実態が明らかにされている。