IIJのセキュリティ情報サイト「wizSafe」が、7-Zipの非公式Webサイトから配布されている「7-Zip風インストーラ」について注意喚起を公開しました。検索結果の上位に出る「7zip.com」からWindows向け7-Zipをダウンロードすると、不審なファイルがシステムディレクトリに展開される可能性があるとのことです。
そこで、「何が起きているのか」「どのサイト・インストーラが危険なのか」「ユーザーとして何に気を付けるべきか」をコンパクトに整理します。
何が起きているのか
IIJ wizSafeが2026年1月21日付で公開した情報によると、7-Zipの非公式サイトから配布されているインストーラが、不審なファイルをシステム内に展開することが確認されています。
重要なのは、IIJ SOCが複数の顧客環境で当該実行ファイルの実行を実際に確認しているという点です。つまり、これは「起きるかもしれない」という話ではなく、「すでに起きている」事例ということ。
ただし問題は「正規の7-Zipそのもの」ではありません。あくまで、非公式サイト経由で配布されている「7-Zip風インストーラ」が問題であり、正規サイトから入手した7-Zipが原因ではないとされています。
問題のあるサイトと挙動の詳細
非公式サイトとダウンロード先の変化
まず、7-Zipの正規サイトは「7-zip.org」です。問題視されているのは「7zip.com」という非公式サイト側のWindowsダウンロードリンクになります。
この7zip.comですが、2026年1月のある時点から、Windows x64/x86版のダウンロード先だけが「update.7zip.cloud」というドメインに差し替えられたと報告されています。そして、それ以外のARM版・Linux版・macOS版などは今も正規サイトへのリンクになっているという点です。つまり、Windows x64/x86版だけが意図的にターゲットにされているということですね。
インストーラの特徴
問題のインストーラには、いくつかの不自然な点が見られます。
インストーラは「7-Zip 22.01 Setup」と表示されるのですが、配布ページ上の表記は25.01になっており、バージョン番号と署名日付の整合性が取れていません。また、正規の7-Zipインストーラは通常、電子署名が付いていないのですが、問題のインストーラには2026年1月の日付の電子署名が付いているという相違点があります。
IIJが確認したインストーラのハッシュ値(SHA-256)は、408a89bc9966e76f3a192ecbf47b36fdc8ddaa4067aaee753c0bd6ae502f5ceaと報告されています。詳しくはIIJの元記事を参照してください。
これが現時点で確認されている問題のインストーラということになります。
hero.exeと「Helper Service」の動作
さて、この不審なインストーラを実行すると何が起きるか?
通常の7-Zipインストールに加えて、C:\Windows\SysWOW64\heroというディレクトリが作成され、そこに複数のファイルが配置されます。SysWOW64というのは、64bit Windows上で32bitアプリを動かすためのシステムディレクトリなのですが、通常はここに一般的なアプリケーションをインストールすることはありません。
さらに問題なのは、hero.exeが「Helper Service」というサービス名でWindowsに登録され、システム起動時にSYSTEM権限で自動実行されるよう設定されること。SYSTEM権限というのは、Windowsで最も高い権限レベルですから、これがどれだけ危険な状態かわかると思います。
IIJによる分析では、hero.exeはVPN機能を持つようであり、リモートアクセスやファイルアップロードなどに悪用される可能性があると評価されています。ただし、これは現時点での分析結果であり、最終的な目的については引き続き調査中とのことです。
どのように対策・確認すべきか
ダウンロード元の確認
対策として最も基本的かつ重要なのは、7-Zipを入手する際は必ず「7-zip.org」からダウンロードすることです。
検索エンジンで「7-Zip ダウンロード」と検索すると、広告枠や上位結果に非公式サイトが表示されるケースがあります。そのため、必ずドメインを確認する習慣を身につけることが重要ですね。
また、Windows 11を使っているなら、Microsoft Storeやwinget経由でインストールする方法もあります。こうした公式チャネルを活用するのも一つの選択肢です。
既にインストールしてしまった可能性がある場合
もし心当たりがある場合は、次の確認を行ってください:
C:\Windows\SysWOW64\heroディレクトリが存在するか確認- サービス一覧(services.msc)で「Helper Service」というサービスが登録されているか確認
該当するものが見つかった場合は、次の対応を推奨します:
- まずネットワークから切断する
- ウイルス対策ソフトでフルスキャンを実施
- 個人環境であればセキュリティ専門家への相談を、企業環境であれば速やかに情報システム部門に報告
2026年1月時点の状況と注意点
本件は「2026年1月時点でIIJ SOCが観測した事例」に基づくものであり、今後サイト側・インストーラ側の挙動が変化する可能性があります。
現時点では、hero.exeの最終的な目的や攻撃キャンペーン全体像は不明です。「VPN機能を持つ疑いがある」という段階の分析であることを理解しておいた方がいいでしょう。
ただし、少なくとも「不要なサービスをSYSTEM権限で勝手に常駐させる」という時点で、通常のユーザーが許容すべきソフトウェアではないことは明確。この点については断言できます。
まとめ
今回の件は、オープンソースソフトウェアを「検索して上から順に取ってくるだけ」では危険になりつつあることを示しています。
検索エンジンや広告枠の仕組み、そして古くからある7-Zipの知名度の高さが、攻撃者にとって「誘導先として都合が良い」環境を作り出しているわけです。
ユーザー側としては、「公式ドメインを必ず確認する」「可能であればパッケージマネージャを優先する」といった自衛策を取る必要があります。少し面倒に感じるかもしれませんが、こうした基本的な確認が、今後ますます重要になってくるでしょうね。
