株式会社インターネットイニシアティブ(IIJ)は1月22日、Webサイトで公開されている非公式7-Zipのインストーラによる不審なファイルの展開について、「wizSafe Security Signal」で発表した。
オープンソースで開発・公開されているアーカイバソフトウェア 7-Zipは、公式Webサイトの他に、非公式のWebサイトが複数存在しており、2026年1月から1つの非公式Webサイトで不審なファイルを展開するインストーラへのリンクが掲載されている。IIJのSOCでは、複数の顧客にて当該実行ファイルの実行を確認しており、その内容について「wizSafe Security Signal」で紹介している。
7-Zipの非公式のWebサイトの1つである「7zip[.]com」について、不審なファイルをインストールするものとして7-Zipのフォーラムで取り上げられており、当該サイトは検索すると上位に表示されることから、注意が必要としている。
当該インストーラを実行すると、7-Zipのインストーラが実行されるが、現時点で下記の特徴があるとのこと。
・公式のインストーラは電子署名がされていないが、当該インストーラは電子署名されている。
・インストーラのタイトルが「7-Zip 22.01 Setup」となっている。
7-Zipのバージョン番号はリリース年となっており、当該ダウンロードサイトに記載されているバージョン番号は25.01となっているが、インストールされる7-Zipのバージョンも22.01で、電子署名の日付は2026年1月となっており、日付関係に矛盾がある。
当該インストーラは7-Zipをインストールする他、「C:\Windows\SysWOW64\heroディレクトリ」を作成し、不審なファイルを配置する。hero以下に配置されたhero.exeは「Helper Service」の名称でサービスとして登録され、Windowsが起動した際にSYSTEM権限で自動的に実行される。IIJによると、攻撃者の目的は不明だが、当該ファイルはVPN機能を持つようであり、攻撃者による端末へのリモートアクセスや、端末上のファイルを攻撃者のインフラにアップロードするなどの使われ方が想定されるとしている。
