2025年7月30日にリリースされたWinRAR 7.13で修正されたディレクトリトラバーサル脆弱性「CVE-2025-8088」が、修正版公開前からゼロデイ攻撃で悪用され、RomComマルウェアの配布に利用されていたことが明らかになりました。
WinRARは自動アップデート機能が無く手動アップデートとなります。情報システム部門やセキュリティ担当者は社内での告知やアップデート確認が必要になります。
また、この脆弱性は、ESETの研究者Anton Cherepanov氏、Peter Košinár氏、Peter Strýček氏によって報告されました。
脆弱性の内容
CVE-2025-8088は、Windows版のWinRAR、RAR、UnRAR、portable UnRAR、UnRAR.dllに存在するディレクトリトラバーサルの欠陥です。
細工されたアーカイブを展開すると、本来ユーザーが指定した保存先ではなく、攻撃者が設定したパスにファイルを展開できてしまいます。
影響を受けるのはWindows版のみで、Unix版RAR/UnRAR、Android版RARは対象外です。
攻撃者はこの欠陥を利用し、実行ファイルをWindowsのスタートアップフォルダなどに展開させることで、ユーザーが次回ログイン時に自動的に実行させ、リモートコード実行(RCE)を可能にします。
代表的な展開先は以下の通りです。
-
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup(ユーザー単位) -
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp(PC全体)
ゼロデイ攻撃での悪用事例
ESETによると、この脆弱性は修正前から標的型フィッシング(スピアフィッシング)攻撃で悪用されており、RARファイルを添付したメール経由でRomComマルウェアが配布されていました。
メールの添付RARファイルは、CVE-2025-8088を利用してスタートアップフォルダにマルウェアを展開。次回ログイン時に自動起動することで、攻撃者がシステムを遠隔操作できる状態にします。
RomCom(別名:Storm-0978、Tropical Scorpius、UNC2596)は、ロシアと関係が深いとされるハッキンググループで、ランサムウェア攻撃や情報窃取、認証情報の盗難などのサイバー犯罪活動に関与しています。同グループはゼロデイ脆弱性の積極的な悪用で知られ、過去には「Cuba」「Industrial Spy」など複数のランサムウェア作戦にも関与してきました。
対策と推奨対応
WinRARは自動更新機能を備えていないため、ユーザー自身が公式サイト(www.win-rar.com)から最新バージョン(7.13)を手動でダウンロード・インストールする必要があります。
また、以下の対策も推奨されます。
-
未知送信者からのRARファイルを開かない
-
OSやセキュリティソフトの最新化
-
スタートアップフォルダ内の不審ファイルの確認
-
添付ファイルは展開前にスキャン








