ファイル圧縮・解凍ソフト WinRARでMark of the Webをバイパスする脆弱性(CVE-2025-31334)

2025年3月24日、ファイル圧縮・解凍ソフト「WinRAR」にて、セキュリティ機能である「Mark of the Web（MOTW）」をバイパス可能な脆弱性が報告されました。攻撃者が細工を施したアーカイブファイルを通じて、ユーザーの意図しないコード実行を引き起こす可能性があり、注意が必要です。

脆弱性の対象バージョン

7.11未満のバージョン

脆弱性の対策バージョン

7.11以上のバージョン

脆弱性の概要

実行可能ファイルを指すシンボリック リンクを開くときに、ファイルの「Mark of the Web」セキュリティ警告機能をバイパスする問題は、WinRAR バージョン 7.11 より前に存在します。影響を受ける製品で攻撃者によって特別に作成されたシンボリック リンクが開かれると、任意のコードが実行される可能性があります。

Mark of the Web（MOTW）とは？

「Mark of the Web」は、インターネットなど信頼できないソースから取得されたファイルに自動的に付与されるキュリティゾーン識別情報（Alternate Data Stream）のことです。

MOTWの目的と役割

Windowsでは、MOTWが付いたファイルに対して以下のような動作制限をかけます

• 実行時にセキュリティ警告ダイアログを表示

• Microsoft Officeでは「保護ビュー」として開く

• 一部のアプリケーションは開くこと自体をブロック

つまり、MOTWはユーザー保護の第一防衛線であり、これをバイパスされると、ファイル出所のチェックが無効化されてしまうことになります。

 想定される影響とリスク

この脆弱性を悪用された場合、ユーザーが特別な操作をしなくてもマルウェアの実行が成立する恐れがあります。

特に以下のような状況では被害が拡大する可能性があります

• ユーザーが信頼できない送信元からRARファイルを受け取った場合

• セキュリティ対策が緩い端末（アンチウイルス未導入、管理者権限の常用）

• 教育機関や官公庁など、不特定多数とファイルをやり取りする組織