「7-Zip」非公式サイトに偽インストーラ マルウェア感染の恐れ IIJが注意喚起

[ITmedia]

　IIJのセキュリティチーム（SOC）は1月22日、圧縮解凍ソフト「7-Zip」の非公式Webサイト「7zip.com」で配布されているインストーラが、不審なファイルをインストールさせるものに変わっていると注意喚起した。

　Windows x64版・x86版のリンクのみ、ダウンロード先が、マルウェアをインストールさせるURLになっているという。IIJの複数の顧客で不審ファイルの実行を確認したため、注意喚起した。

IIJの注意喚起より

　問題のサイトは「7zip.com」で、検索エンジンで「7-Zip ダウンロード」と検索すると上位に表示される。以前は正式なインストーラーを提供していたという情報があり、現在もWindows ARM版／Linux版／macOS版などは公式Webサイトにリンクしている。

　だが2026年1月、Windows x64版・x86版のリンクのみダウンロード先が「update.7zip[.]cloud」に変更されており、現在は不審なファイルを端末上に展開するものになっている。

　偽インストーラは電子署名されているが、公式インストーラには電子署名がない点が特徴。

　偽インストーラは7-Zipをインストールする一方で、Windowsのシステムディレクトリ「SysWOW64」内に「hero」フォルダを作成し、不審なファイルを配置する。

　「hero」以下に配置された「hero.exe」は「Helper Service」という名称でWindowsサービスに登録され、起動時にSYSTEM権限で自動実行される。

　このファイルはVPN機能を持つとみられ、攻撃者による端末へのリモートアクセスやファイルの外部送信に使われる可能性がある。

　7-Zipをダウンロードする際は、正式なドメイン（www.7-zip.org）であるか確認するか、Windowsのwingetコマンドを使ったインストールをすすめている。

【訂正：2026年1月23日午前10時18分】記事公開時、冒頭部分が欠落した形で掲載してしまっていたため、本来の形に修正しました。おわびして訂正いたします。