目次
はじめに
7-Zipはオープンソースで開発・公開されているアーカイバソフトウェアです。7-Zipは公式Webサイトの他に、非公式のWebサイトが複数存在しています。その内の1つにおいて、2026年1月より、不審なファイルを展開するインストーラへのリンクが掲載されています。SOCにおいて、複数のお客様にて当該実行ファイルの実行を確認していることから、本稿では速報として、その内容をご説明します。
非公式なWebサイト
7-Zipの公式Webサイトは https://www.7-zip.org/ です。しかし、検索エンジンで「7-Zip ダウンロード」などと検索すると、非公式のWebサイトが複数見つかります。中には善意で公開されているWebサイトもあるようですが、その内の1つである、7zip[.]comについて、不審なファイルをインストールするものとして7-Zipのフォーラムで取り上げられています。このWebサイトは検索すると上位に表示されることから、注意が必要です。
当該Webサイトからのリンク先は、以前は正式な7-Zipのインストーラであったとの情報があります。本稿執筆時点においても、Windows ARM版・Linux版・macOS版などについては公式Webサイトへのリンクとなっており、同様の形式であったものと推測されます。しかし2026年1月のある時にWindows x64版・x86版のリンクのみダウンロード先がupdate.7zip[.]cloudに変更されており、現在は不審なファイルを端末上に展開するものとなっています。
不審なインストーラ
当該インストーラを実行すると、7-Zipのインストーラが実行されます。本稿執筆時点において、このインストーラには以下の特徴があります。
- 当該インストーラは電子署名されている。公式のインストーラは電子署名がされていない
- インストーラのタイトルが「7-Zip 22.01 Setup」となっている
7-Zipのバージョン番号はリリース年となっており、当該ダウンロードサイトに記載されているバージョン番号は25.01となっています。インストールされる7-Zipのバージョンも22.01ですが、前述の電子署名の日付は2026年1月となっており、日付関係に矛盾があります。
なお、本稿で確認したインストーラのハッシュ値(SHA-256)は 408a89bc9966e76f3a192ecbf47b36fdc8ddaa4067aaee753c0bd6ae502f5cea です。
このインストーラは7-Zipをインストールする他に、C:\Windows\SysWOW64\heroディレクトリを作成し、不審なファイルを配置します。SysWOW64はWindowsのシステムファイルが配置されるディレクトリであり、この内容は64ビット版Windowsで32ビット版アプリケーションを実行するためのファイルです。ライブラリ(DLL)ファイルなど一部のシステムに近いものを除き、通常ではこのディレクトリに個別のアプリケーションはインストールされません。hero以下に配置されたhero.exeは「Helper Service」の名称でサービスとして登録され、Windowsが起動した際にSYSTEM権限にて自動的に実行されます。
攻撃者の目的は不明ですが、当該ファイルはVPN機能を持つようであり、攻撃者による端末へのリモートアクセスや、端末上のファイルを攻撃者のインフラにアップロードするなどの使われ方が想定されます。
まとめ
本稿では7-Zipの非公式Webサイトに掲載されている、不審なインストーラについて記載しました。7-Zipの公式サイトは https://www.7-zip.org/ ですので、ダウンロードされる際はそのドメインをご確認ください。Webアクセスの他に、7-Zipの場合はwingetコマンドを用いてインストールすることも可能です。
