人気アーカイブソフト「WinRAR」の最新版となるバージョン7.13が8月初旬にリリースされました。Windows版のUNRAR.dllに存在するディレクトリトラバーサルの重大な脆弱性(CVE‑2025‑8088)を修正するもので、フィッシング攻撃によるマルウェア侵入が確認された緊急対応アップデートとなっています。
攻撃の内容とその危険性
この脆弱性を悪用すると、特別に仕込まれたRARアーカイブがユーザー指定以外の任意のフォルダへファイルを書き込みます。例えばWindowsのスタートアップフォルダへ実行ファイルを忍ばせることで、次回ログイン時に自動的にマルウェアが起動される恐れがあります。リモートコード実行の道を開く致命的なリスクです。
ロシア系ハッカー集団「RomCom(別名Storm‑0978/UNC2596)」がこの脆弱性を狙った攻撃キャンペーンを展開しており、ヨーロッパやカナダの金融・製造・防衛関連組織が主なターゲットとされています。
このアップデートで修正されたポイント
バージョン7.13では下記の問題が修正・改善されました
•ディレクトリトラバーサル脆弱性(CVE‑2025‑8088)の除去
•以前のバージョン(WinRAR 5.21以前)で作成されたプロファイルの復元が誤ったサイズで動作する問題
•[ファイルからの設定インポート機能]が一部環境で設定を正しく再現できない不具合
今回の教訓とユーザーへの対応
WinRARは自動アップデート機能を持たないため、ユーザー自身が公式サイトから手動で最新版に更新する必要があります。
Unix版RARやAndroid向けRARはこの脆弱性の影響を受けないため、安全性が保たれています。
総括すると…
•WinRAR 7.13は重大脆弱性を修正し、リスクを防ぐ必須アップデートである。
•悪用例は現実に存在し、対象となる範囲は広範—特にWindowsユーザーは即更新が推奨される。
•信頼性の高いファイル解凍ツールとは言い難い側面もあり、今後はアップデート対応の自動化整備が望まれる。
