Windows用の人気圧縮・解凍ソフト「7‑Zip」には、公式サイト以外にも複数の非公式ミラーサイトが存在します。そのうちの一つ 7zip[.]com にて、2026年1月から 不審なインストーラが配布されている ことが確認されました。実際に複数の企業環境で、この不審ファイルが実行された痕跡が見つかっており、緊急の注意喚起が必要な状況とのことです(IIJ)。
今回の事例では「7‑Zip ダウンロード」で検索すると、公式サイト(https://www.7-zip.org/)よりも該当の非公式サイトが上位に出るケースがあり、ユーザーが誤って非公式サイトからダウンロードしてしまうリスクが高いとされています。
うわぁWikipediaの次に表示されてる>7zip\.com。本家は7-zip\.orgなので注意 https://t.co/pmp9ahSCo5 pic.twitter.com/c64YdUT9ui
— Haruhiko Okumura (@h_okumura) January 22, 2026
(ただし、その後、非公式サイトの順位はかなり下がっている模様)
Windows版のみ不審ファイルに差し替え
該当の非公式サイトでは、2026年1月以降、Windows x64/x86版のダウンロードリンクだけが update.7zip[.]cloud に変更され、不審なインストーラが配布されるようになっていました。Linux版やmacOS版は公式サイトへのリンクのままのため、意図的にWindowsユーザーを狙った攻撃と見られます。
不審なインストーラは一見すると通常の7‑Zipをインストールしますが、公式版とは異なり、電子署名がついています(バージョン番号や署名日付に矛盾が存在)。
裏で以下の動作を行います。
-
C:\Windows\SysWOW64\heroディレクトリを作成 -
hero.exeを「Helper Service」として SYSTEM 権限で常駐化
hero.exeはVPN機能を持つ不審なプログラムで、攻撃者によるリモートアクセスやファイル送信に悪用される可能性があり、マルウェアの典型的な動作だとみこまれます。
ユーザーが取るべき対策
7‑Zipは必ず公式サイト(https://www.7-zip.org/)からダウンロードすることが推奨されています。あるいは、Windows公式のパッケージツールであるwingetでのインストールも安全な選択肢です。
すでにインストール済みの場合、C:\Windows\SysWOW64\heroの有無を確認し、不審なサービス「Helper Service」が存在しないかチェックします。
今回のケースは「非公式ミラーサイトを悪用したサプライチェーン攻撃」の典型例です。検索結果の上位にあるからといって安全とは限りません。ダウンロード時は必ず公式ドメインを確認することが重要となります。
 |
タイトル | 7-Zip |
|---|---|---|
| 公式サイト | http://www.7-zip.org/ | |
| ソフトアンテナ | https://softantenna.com/softwares/1357-7-zip | |
| 説明 | 高圧縮率を誇る7z形式をサポートしたアーカイバ。 |
