圧縮・解凍ソフトとして世界中で愛用されている「7-Zip」に、深刻な脆弱性が見つかりました。この問題は既に2025年7月に修正されていますが、10月になって詳細が公開され、大きな話題となっています。もし古いバージョンを使い続けていると、悪意のあるファイルを解凍するだけで、パソコンが乗っ取られるリスクがあります。
そこで、この脆弱性の詳細と、なぜすぐにアップデートすべきなのかをわかりやすく解説していきます。
7-Zipとは?世界中で使われる定番ツール
まずは基本から確認しておきましょう。7-Zipは、ファイルの圧縮・解凍を行うオープンソースの無料ソフトウェアです。Igor Pavlov氏によって開発され、Windows 2000以降のOSに対応しています。
7-Zipが多くのユーザーから支持される理由は、いくつかあります。完全無料で商用利用も可能なこと、高い圧縮率を誇る7z形式に対応していること、そしてZIP、RAR、LZHなど様々な形式の解凍に対応している点です。こうした特徴から、個人ユーザーはもちろん、企業での利用も非常に多いソフトウェアなんですね。
Impress社の窓の杜によると、7-Zipは日本国内でも定番の圧縮・解凍ツールとして広く普及しています。無料で高機能、しかも安定して動作するため、パソコンを使う多くの人が一度は使ったことがあると思います。
発覚した脆弱性CVE-2025-11001の概要
それでは、今回発見された脆弱性の詳細について見ていきましょう。
脆弱性の基本情報
2025年10月7日、セキュリティ研究機関のZero Day Initiative(ZDI)から、7-Zipに関する重大な脆弱性情報が公開されました。この脆弱性には「CVE-2025-11001」という識別番号が付けられています。
この脆弱性の深刻度を示すCVSSスコアは「7.0」で、「高(High)」に分類されます。CVSSスコアは脆弱性の深刻度を0〜10で評価する国際的な指標で、7.0以上は早急な対応が必要とされるレベルです。
どんな危険性があるのか
この脆弱性の正式名称は「File Parsing Directory Traversal Remote Code Execution Vulnerability」、日本語に訳すと「ファイル解析におけるディレクトリトラバーサルを利用したリモートコード実行の脆弱性」となります。
具体的には、悪意のある特別に細工されたZIPファイルを解凍した際に、攻撃者が意図した任意のコードを実行できてしまうという問題です。Tech系メディアのGBHackersによると、この脆弱性を悪用されると、サービスアカウントの権限でプログラムが実行されるため、システム全体が危険にさらされる可能性があります。
実際に攻撃を受けると、パソコン内の重要なファイルが盗まれたり、マルウェアがインストールされたり、最悪の場合はパソコンが完全に乗っ取られることもあり得ます。
発見から修正までの経緯
脆弱性発見のタイムライン
この脆弱性に関する一連の出来事を時系列で整理すると、次のようになります。
| 日付 | 出来事 |
|---|---|
| 2025年5月2日 | セキュリティ研究者がZero Day Initiativeを通じて7-Zip開発者に脆弱性を報告 |
| 2025年7月5日 | 7-Zip バージョン25.00がリリースされ、脆弱性が修正される |
| 2025年8月 | 7-Zip バージョン25.01がリリース(さらなる改善を含む) |
| 2025年10月7日 | Zero Day Initiativeが脆弱性の詳細を公開 |
| 2025年10月9日 | 窓の杜など日本語メディアでも報道が本格化 |
修正版のリリースから公開まで約3ヶ月のタイムラグがあるのは、「責任ある開示(Responsible Disclosure)」と呼ばれる慣行で、まず開発者に修正の機会を与え、ユーザーがアップデートできる期間を確保してから詳細を公開するという流れになっています。
なぜ今頃話題になったのか
「7月に修正されていたのに、なぜ10月になって話題になったの?」と疑問に思う方もいるかもしれません。これには理由があります。
7月時点では、単に「いくつかの不具合と脆弱性を修正」としか発表されておらず、具体的にどんな脆弱性だったのかは明かされていませんでした。そのため、多くのユーザーは緊急性を感じず、アップデートを後回しにしていた可能性があります。
しかし10月にZero Day Initiativeが詳細を公開したことで、この脆弱性の深刻さが広く知られることになりました。実は同時に、似た内容の別の脆弱性「CVE-2025-11002」(CVSSスコアも同じく7.0)も公開されており、2つ合わせて大きなニュースとなったわけです。
さらに窓の杜によると、10月9日の追記で別の脆弱性「CVE-2025-53816」(ヒープバッファオーバーフローの問題)も修正されていたことが明らかになり、7-Zip 25.00へのアップデートの重要性がより強調される結果となりました。
影響を受けるバージョン
どのバージョンが危険なのか
この脆弱性の影響を受けるのは、7-Zip バージョン25.00未満のすべてのバージョンです。つまり、24.xx、23.xx、それ以前のバージョンを使っている場合は、すべて危険な状態にあるということになります。
自分が使っているバージョンが分からない場合は、7-Zipを起動して「ヘルプ」メニューから「バージョン情報」を確認してみてください。そこに表示されるバージョン番号が25.00より小さい数字であれば、早急にアップデートが必要です。
自動アップデート機能がない問題
実は、7-Zipには自動アップデート機能がありません。つまり、ユーザー自身が意識的にアップデートしない限り、古いバージョンを使い続けることになってしまいます。
Tom’s Hardwareも指摘していますが、これが大きな問題なんです。ブラウザやOSのように自動で更新されるソフトウェアとは違い、7-Zipは手動でアップデートしなければならないため、多くのユーザーが「一度インストールしたら何年も放置」という状態になりがちです。
特に企業環境では、IT部門の管理下にないソフトウェアとして見過ごされることも多く、セキュリティの盲点になりやすいという問題があります。
今すぐ実施すべき対策方法
1. 最新バージョンへのアップデート
最も重要な対策は、7-Zipを最新バージョン(25.00以降)にアップデートすることです。これはもう、最優先で行ってください。
アップデートの手順は次の通りです。
まず、7-Zipの公式サイト(https://7-zip.opensource.jp/)にアクセスします。必ず公式サイトからダウンロードするようにしてください。非公式サイトからのダウンロードは、別のセキュリティリスクを招く可能性があります。
次に、お使いのPCのCPUがIntelまたはAMDの場合は「x64版」、Armプロセッサの場合は「Arm64版」のインストーラーをダウンロードします。多くのPCは「x64版」で問題ないですが、一部のCopilot+PCはArmプロセッサを搭載しているので、間違いないようにしましょう。
ダウンロードしたインストーラーを実行すると、既存の7-Zipの上に新しいバージョンがインストールされます。設定やファイルの関連付けはそのまま引き継がれるので、心配しなくて大丈夫です。
インストールが完了したら、7-Zipを起動してバージョン情報を確認し、25.01以降になっていることを確認してください。
2. 不審なZIPファイルを開かない
アップデートと並行して、日頃のセキュリティ意識も重要です。特に注意すべきなのは、次のようなZIPファイルです。
出所不明のメールに添付されたZIPファイルは絶対に開かないでください。たとえ知人から送られてきたように見えても、メールアカウントが乗っ取られている可能性があります。怪しいと感じたら、別の手段(電話など)で送信者に確認するのがおすすめです。
また、信頼できないウェブサイトからダウンロードしたZIPファイルも危険です。特に、「無料ソフト配布サイト」を装った悪意のあるサイトには注意が必要ですね。
SNSやメッセージアプリで共有されたリンク先のZIPファイルも、クリックする前に一度立ち止まって考えましょう。最近は、フィッシング詐欺の手口もどんどん巧妙になっています。
他にも報告されている脆弱性
今回のCVE-2025-11001だけでなく、同時期に次の脆弱性も明らかになっています。
CVE-2025-11002も、CVE-2025-11001と同様のディレクトリトラバーサルを利用したリモートコード実行の脆弱性で、CVSSスコアは7.0です。これも7-Zip 25.00で修正されています。
CVE-2025-53816は、ヒープバッファオーバーフローという別種の脆弱性で、メモリ破壊やサービス拒否攻撃につながる可能性があります。こちらも同じく25.00で対応済みです。
これらの脆弱性を見ると、バージョン25.00がいかに重要なセキュリティアップデートだったかがわかります。
まとめ:今すぐアップデートを!
今回発覚した7-Zipの脆弱性CVE-2025-11001は、決して軽視できない深刻な問題です。悪意のあるZIPファイルを解凍するだけで、パソコンが乗っ取られる可能性があるという事実は、本当に恐ろしいですよね。
幸い、開発者は迅速に対応し、バージョン25.00で修正を行いました。しかし、7-Zipには自動アップデート機能がないため、ユーザー自身が意識的にアップデートする必要があります。
この記事を読んだら、まず最初にやるべきことは、お使いの7-Zipのバージョンを確認し、25.00未満であれば即座に最新版にアップデートして下さい。これは5分もあれば完了する作業ですが、あなたのパソコンを守る上で非常に重要な一歩になります。
