ZIPファイルの“ちょっとした細工”で検知停止 EDRも見逃す可能性：セキュリティニュースアラート

ZIPファイルは長年、マルウェア拡散の主要な運び屋として悪用されてきた。だが今回、さらに厄介な手口が浮上した。ヘッダ情報をわずかに改変するだけで、セキュリティ製品の解析が途中で止まり、内部の不正コードが“見えないまま”になる可能性があるという。

[ITmedia エンタープライズ編集部，ITmedia]

　カーネギーメロン大学のCERT/CCは2026年3月9日（現地時間）、ZIPファイルのヘッダ改変を利用した検出回避の問題を公表した。

　ウイルス対策ソフトやEDR（エンドポイント脅威検知・対処）製品の解析処理が影響を受ける恐れがあり、不正プログラムを含むファイルが検査をすり抜ける可能性がある。

ZIPヘッダのちょっとした細工でEDRの検知をすり抜け　対策はあるか？

　ZIP形式のアーカイブファイルには圧縮方式やフラグ、バージョン情報などのメタデータが含まれている。多くのセキュリティ製品は、この情報を手掛かりに展開方法を判断し、内部ファイルを検査する仕組みを採用している。そのため攻撃者が圧縮方式を示すフィールドを書き換えた場合、検査エンジンが正しく展開できず、内部データを解析できない状況が生じ得る。

　この状態ではアーカイブ内部に不正プログラムが含まれていても、解析処理が途中で停止し、実体を確認できない。CERT/CCは、この結果として検出漏れが起こり得ると指摘している。

　改変されたアーカイブのデータは、通常の解凍ツールでは扱いが困難だ。7-Zipやunzip、bsdtar、Pythonのzipfileなどはヘッダの圧縮方式情報を参照して展開を試みるが、CRCエラーや未対応方式の警告を返して処理を終了する例がある。これらのツールでは内部データが露出しない場合が多い。

　一方で攻撃者が用意した独自の読み込み処理ではヘッダの圧縮方式情報を無視し、埋め込まれたデータを直接展開できる。こうした方法により、セキュリティ製品の検知を回避した不正コードを取り出して実行する手口が成立する。

　この問題は、過去に報告されたZIPファイル関連の脆弱（ぜいじゃく）性と類似点を持っている。CERT/CCは2004年に公開されたVulnerability Note VU#968818との関連を指摘している。当時の報告ではヘッダ情報を書き換えることでアーカイブファイルのサイズがゼロと誤認され、ウイルス対策ソフトが内部データを検査しない事例が確認されていた。

　今回のケースでも、アーカイブファイルのメタデータと実際のデータ構造が一致しない状況が検知回避の要因となる。CERT/CCは「アーカイブ処理をヘッダ情報のみに依存させない設計が必要だ」と指摘する。圧縮方式の宣言値と実データの特性を照合する仕組みなど、より厳密な検証処理が求められるとしている。

　影響のある環境においては、攻撃者が細工したZIPファイルを電子メールなどで配布する可能性がある。標準ツールでの展開には失敗するケースが多いが、攻撃者が用意した特殊なローダーなどで処理すると、隠蔽（いんぺい）されたプログラムが実行される恐れがある。

　CERT/CCは対策として、ウイルス対策製品やEDRの提供元に問い合わせ、影響の有無や追加防御策の案内を確認するよう呼びかけている。ベンダー側には、アーカイブ検査機能の強化と不整合検出機能の実装が求められる。