はじめに
2025年10月7日、Zero Day Initiative(ZDI)は、7-Zipに関する2件の脆弱性「CVE-2025-11001」「CVE-2025-11002」を公表しました。いずれもZIPファイル展開時のシンボリックリンク処理に問題があり、悪意あるZIPファイルを開くことで任意のコードが実行される可能性があります。
本記事では、事実関係と時系列を整理し、利用者が取るべき対応について簡潔に説明します。
脆弱性の概要
- 対象製品: 7-Zip(バージョン25.00未満)
- 脆弱性番号: CVE-2025-11001/CVE-2025-11002
- 影響範囲: ZIPファイルの展開処理におけるディレクトリトラバーサル
- 危険度: CVSS 7.0(High)
- 前提条件: 悪意あるZIPファイルをユーザが手動で開く必要あり(UI:R)
- 影響: ファイルの上書き、任意コード実行、システム権限の取得など
脆弱性は、ZIPファイル内のシンボリックリンクを介して展開先ディレクトリ外へファイルを配置できてしまう設計上の問題に起因します。ユーザが攻撃者作成のZIPファイルを開いた場合、意図せず重要ファイルを上書きする可能性があります。
時系列
- 2025年5月2日: 開発元(7-Zipプロジェクト)に脆弱性が報告される
- 2025年7月5日: 修正版(バージョン25.00)がリリースされる
- 2025年10月7日: ZDIが脆弱性情報を一般公開
報告から公表まで約5か月が経過しています。7-Zipは自動更新機能を備えていないため、利用者が手動でアップデートしない限り、修正版の適用は行われません。
現状の課題
この遅延公開により、多くの利用者が依然として脆弱なバージョン(24.x以前)を使用している可能性があります。特に7-Zipをバックエンドで利用するソフトウェアやスクリプトでは、脆弱な展開処理が残っているリスクがあります。
また、Windows環境では7-Zipが広く普及しており、ファイル共有やアーカイブ操作に日常的に使われるため、攻撃者が悪用する可能性も否定できません。
対応策
現時点で確認されている確実な対策は次の1点のみです。
7-Zipをバージョン25.00以降に更新すること。
7-Zip公式サイト(https://www.7-zip.org/)から最新版を入手できます。アップデートにより、CVE-2025-11001およびCVE-2025-11002は修正済みとなります。
なお、バージョンアップをすぐに実施できない場合は、メール添付やインターネット経由で入手した出所不明のZIPファイルを解凍しないことが重要です。展開操作そのものが攻撃のトリガとなるため、不審なファイルは開かず削除してください。
おわりに
7-Zipの脆弱性は、ユーザ操作を前提とするため即座の被害は限定的です。しかし、問題が報告から数か月間公表されなかったこと、また自動更新機能が存在しないことから、多くの環境で脆弱なバージョンが現在も稼働しているとみられます。特に企業システムや運用スクリプトで7-Zipを利用している場合、内部処理として自動展開を行っているケースもあり、ユーザ操作が介在しない形でリスクが顕在化する可能性があります。
こうした背景を踏まえると、今回の事例は単なるツールの不具合ではなく、ソフトウェア更新管理の重要性を再認識させる事例といえます。定期的なバージョン確認と更新手順の標準化は、個人利用でも企業利用でも欠かせません。
7-Zipを利用しているすべてのユーザは、最新版(25.00以降)へ速やかに更新し、不要な旧版を削除することが強く推奨されます。
参考文献
- ZDI-25-949: (CVE-2025-11001) 7-Zip Directory Traversal Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-25-949/ - ZDI-25-950: (CVE-2025-11002) 7-Zip Directory Traversal Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-25-950/ - Debian Security Tracker – CVE-2025-11001
https://security-tracker.debian.org/tracker/CVE-2025-11001 - SUSE CVE Database – CVE-2025-11002
https://www.suse.com/security/cve/CVE-2025-11002.html