7zファイルへの圧縮や解凍ができるフリーソフト7-Zipのバージョンによっては脆弱性がある、ということが示されました。どういった内容の脆弱性なのか、7-Zipの脆弱性を修正するためにはどうしたらいいのか、ということを含め解説していきます。
Windowsに7zの圧縮/解凍機能がデフォルトでないため、7-Zipを利用している人も少なくないでしょう。そんな7-Zipにセキュリティ上の脆弱性がある、ということを2018年にサイバーセキュリティの研究者が発見しました。
そんな、Windowsユーザーによく利用されている7-Zipのセキュリティ上の脆弱性とは一体どういったものなのか、という点から解説していきます。
まず安心してほしいのは、7-Zipに脆弱性がある、というだけで、7-Zip自体にウイルスやマルウェアの危険性はない、という点です。7-Zipの脆弱性はその機能にあるため、解凍時にその脆弱性の影響を受けるという意味になります。
7-Zipを悪用したファイルの暗号化がされ、そこからウイルスやマルウェアが侵入する、という事があることが「7-Zipに脆弱性がある」という内容につながっています。
この7-Zipの脆弱性は、RARファイルの解凍時に起こるものに対して指摘されているものです。RARファイルの解凍時に利用されるコードが適切に設定されていないことが、7-Zipの脆弱性の原因と考えられています。
不正なRAR圧縮ファイルを7-Zipで解凍した場合、その脆弱性から暗号化された不正な部分の実行RARファイル解凍時に許可してしまい、ファイルを開いて表示しただけでマルウェアを実行するというようなことになります。
また、アドレス空間配置のランダム化――ASLRが、脆弱性があると言われた7-Zipにおいて有効化されていないということも問題として提起されました。
ASLRはバッファーオーバーフロー脆弱性への対抗策となるもので、ASLRが有効化されているということはそれだけセキュリティ対策も向上し、セキュリティ上の脆弱性も軽減されます。
7-Zipは常時同じメモリアドレスへ読み込まれるため、命令や文字列などからバッファーオーバーフローに対する脆弱性が残ったままでした。それも7-Zipの脆弱性として指摘された形です。
では、そんな7-Zipの脆弱性の問題を解決し、不正な圧縮ファイルへのウイルスやマルウェアへの感染を防ぐためにはどうすればいいのか。それは、脆弱性を改善した7-Zipを最新版にアップデートをおこなうことです。
2021年現在の最新版の7-Zipでは、そんなRARの暗号化された不正部分を解凍時に実行してしまう脆弱性・ASLRが無効になっていてバッファーオーバーフロー脆弱性があるという部分がなくなっています。
前述したように、7-Zipの脆弱性を改善するためには、7-Zipを最新版にアップデートする必要があります。7-Zipをアップデートする方法ですが、まずは現在の7-Zipのバージョンを確認しましょう。Windowsのスタートメニューから「7-Zip File Manager」を起動します。
「ヘルプ」から「バージョン情報」を起動します。
ここのバージョンが「18.05」よりも古い場合はアップデートが必要です(上記画像のバージョンの場合はそのままで問題ありません)
18.05よりも古いものだった場合は、開いている7-Zip File Managerを閉じて、7-Zip公式から最新版をダウンロードします。
ダウンロードした7-Zipのインストーラーを起動すれば、7-Zipのアップデートがおこなわれます。
7-Zipのセキュリティ上の脆弱性は、7-Zipを最新版にすることで改善されます。アップデート方法も簡単なので、7-Zipを利用している人で18.05以前のバージョンだった場合はアップデートして、脆弱性の問題を改善して7-Zipを利用してください。