非公式 7-Zip 配布サイト経由で不審なインストーラが展開される事例-IIJ SOCが注意喚起

セキュリティニュース

投稿日時: 更新日時:

非公式 7-Zip配布サイト経由で不審なインストーラが展開される事例-IIJ SOCが注意喚起

2026年1月以降、7-Zipの非公式Webサイトの一つである 7zip[.]com からWindows向けインストーラを入手して実行すると、7-Zipのインストールに見せかけて端末内に不審なファイルを展開し、サービスとして常駐させる挙動が確認されています。国内ではIIJのSOCが複数の組織で当該実行ファイルの実行を確認しており、注意喚起として公表されています。

概要

7-Zipは利用者が多い定番ツールですが、検索エンジンで 7-Zip ダウンロード などと検索すると、公式サイト以外の配布サイトが上位表示されることがあります。今回問題視された 7zip[.]com も検索で目に入りやすく、公式と誤認してダウンロードしてしまうリスクが高い点が厄介です。

正しいURLは https://www.7-zip.org/ となります。

問題視されているURL

https://7zip.com/
https://update.7zip.cloud/

Bingでは上位表示されている

セキュリティ対策Labで調査するとGoogleChromeでは表示されていませんが、Bingで7-zipと検索すると

以下の通り問題視されているURLが上位表示されたりSERPとして表示されています。

社内端末をMicrosoftに統一している場合、デフォルトの検索エンジンがBingである事もあり注意する必要があります。

 

不審な配布のポイント

公表情報によると、当該サイトのリンクは以前は正規のインストーラに向いていた可能性がある一方、2026年1月のある時点から、Windows x64版・x86版のリンク先のみが update.7zip[.]cloud に変更され、そこから入手できるファイルが不審な挙動を示すようになっています。なお、同サイト上でもWindows ARM版・Linux版・macOS版などは公式サイトへのリンクになっているとされ、Windows向けのみが差し替わっている点が特徴です。

インストーラの挙動と技術的な違和感

確認されている特徴は次の通りです。

  • 不審インストーラは電子署名付き(公式インストーラは電子署名がない)

  • タイトルが 7-Zip 22.01 Setup になっている

  • 配布ページ上のバージョン表記(例:25.01)と、実際にインストールされる7-Zipのバージョン(22.01)が一致しない

  • さらに、電子署名の日付が2026年1月であるなど、日付関係の整合が取れない

こうした矛盾は、正規配布物に見せかけるために体裁だけを整えた可能性を疑うべきサインです。

端末に残る痕跡(IoC)

公表されている範囲で、端末上には次のような痕跡が残ります。

  • 不審インストーラのSHA-256
    408a89bc9966e76f3a192ecbf47b36fdc8ddaa4067aaee753c0bd6ae502f5cea

  • ディレクトリ作成と不審ファイル配置
    C:\Windows\SysWOW64\hero\ 配下にファイルを配置

  • サービス常駐
    hero.exe が表示名 Helper Service としてサービス登録され、OS起動時にSYSTEM権限で自動実行

SysWOW64は本来、32bit互換のためのシステム領域です。一般的な業務アプリがこの配下に独自ディレクトリを作って常駐サービスまで登録するのは不自然で、調査・隔離の優先度を上げてよい判断材料になります。

想定されるリスク

目的は公表情報の範囲では断定されていませんが、当該ファイルはVPN機能を持つようだとされています。これが事実であれば、攻撃者が遠隔から端末へアクセスする踏み台化、端末内ファイルの外部送信、追加ペイロードの投下といった用途が想定されます。

情報システム部門が取るべき初動

影響の広がりを止めるため、まずは横展開しやすい手から潰すのが有効です。

  • ダウンロード経路の遮断
    7zip[.]com、update.7zip[.]cloud など、問題視されたドメインへの通信をDNS/プロキシ/セキュアWebゲートウェイでブロック対象に入れます。

  • 端末ハンティング(EDR/資産管理)
    C:\Windows\SysWOW64\hero\ の存在、サービス表示名 Helper Service、該当SHA-256の実行痕跡を横断検索します。

  • 端末で検知した場合の対応
    ネットワーク隔離を優先し、プロセス・サービス・永続化(サービス登録、タスク、Runキー等)を含めてインシデント対応フローに乗せます。駆除は証跡保全とセットで進め、拙速にファイル削除だけを行わない運用が安全です。

再発防止の現実解

今回の本質は、正規ソフトでも入手経路が崩れるとマルウェア配布の入口になる点です。対策は技術と運用の両輪で考える必要があります。

  • 公式ドメインの徹底
    7-Zipの公式サイトは 7-zip.org です。社内手順書やポータルのリンクを公式ドメインで統一し、検索して落とさない導線を作ります。

  • パッケージ管理の活用
    Windows環境ではwingetを使った導入に寄せると、利用者がブラウザ検索で配布サイトに迷い込む確率を下げられます。例えば以下です。

winget install -e --id 7zip.7zip
  • ブラウザ経由インストールの統制
    情シスが承認した配布元のホワイトリスト化、未知ドメインからの実行ファイル取得に対するブロックや警告、端末側でのダウンロード実行抑止(ASRやSmartScreen相当の運用強化)も効果があります。

 

出典

非公式7-Zip Webサイトにて公開されているインストーラによる不審なファイルの展開