Kaspersky、「WinRAR」で発覚した19年来の脆弱性を警告 ～関連マルウェアは今も増加中

公式ブログ“Kaspersky Lab official blog”

　露Kaspersky Labは3月28日（現地時間）、解凍・圧縮ソフト「WinRAR」で発覚した19年来の脆弱性に対して注意を喚起する記事を公式ブログ“Kaspersky Lab official blog”に掲載した。この脆弱性を悪用する方法はすでに100以上確認されており、それは今も増え続けているという。

　“出所の怪しい実行ファイルを安易に実行しない”というセキュリティ上の心構えは、もはや当たり前のことになっている。しかし、書庫ファイルを解凍しただけでマルウェアに感染してしまうかもしれないという危険性に関しては、まだ周知が足りないのが現実だ。

　「WinRAR」で悪用されている脆弱性は“ディレクトリトラバーサル”と呼ばれている種類のもので、細工が施された書庫ファイルを展開すると、指定したパスとは異なる場所にファイルが展開されてしまう可能性がある。それだけならば害は少ないのではないかと思うユーザーもいるかもしれないが、たとえば展開された実行ファイルが知らないうちに“スタートアップ”フォルダーにコピーされ、OSの起動時に自動で実行されてしまうため、大変危険な脆弱性といえる。こうして実行されるファイルはたいてい“GoogleUpdate.exe”のような一見無害な名前になっているので、目視でマルウェアだと見破るのは大変難しい。

　こうした悪意ある書庫ファイルは、ユーザーのニーズや不安、欲望を巧妙に突いてシステムに侵入しようとする。魅力的な求人メール、災害や事故、テロを警戒するように呼び掛けるドキュメント、身近な人を装って送り付けられる業務資料、ヒットアルバムの海賊版コピー……そうしたすべてに適切に対応するのは困難だ。

　「WinRAR」の脆弱性を悪用して拡散されているマルウェアの最新の例は、感染したデバイスのファイルをロックするランサムウェア「JNEC.a」だ。このマルウェアはデータを復号する代わりに0.05ビットコイン（約200米ドル）を要求する。今のところ身代金としてはささやかな額だが、支払ったとしてもデータが復号される保証はなく、悪質であることには変わりはない。

　この脆弱性は、「WinRAR」の最新版v5.70ですでに修正されている。残念ながら自動更新機能は搭載されていないので、手動で更新を行う必要がある。アップデートの際に偽のインストーラーを掴まされないよう、公式サイトからのダウンロードをお勧めする（窓の杜ライブラリからもウイルスチェック済みのインストーラーをダウンロード可能）。また、知らない宛先から受け取った書庫ファイルを安易に開かないといった心構えも重要だ。加えて、同社は「Kaspersky Internet Security」など信頼性の高いセキュリティソリューションを導入することを勧めている。