RomComがWinRARゼロデイ脆弱性を標的攻撃で悪用、ヨーロッパ・カナダ企業が被害

ロシア系サイバー犯罪グループRomComがWinRARのゼロデイ脆弱性CVE-2025-8088を悪用し、ヨーロッパとカナダの企業を標的とした攻撃を実行していたことが判明した。

この脆弱性はパストラバーサル脆弱性で、CVSSスコア8.4の高深刻度である。ESET研究者のアントン・チェレパノフ、ピーター・コシナール、ピーター・ストライチェクが7月18日に発見し報告した。攻撃は2025年7月18日から21日の間に集中的に行われ、金融、製造業、防衛、物流企業約12社が潜在的被害者となった。攻撃者は偽装された求職書類を用いたスピアフィッシングキャンペーンを展開し、RAR形式のファイルを悪用した。WinRARは7月31日にバージョン7.13をリリースしてこの脆弱性にパッチを適用した。

RomComは以前にもCVE-2023-36884、CVE-2024-9680、CVE-2024-49039といったゼロデイ脆弱性を悪用した実績がある。また、Paper Werewolfという別のグループも同時期に同じ脆弱性を悪用していたことが確認されている。6月末にはサイバー犯罪フォーラムで「zeroplayer」がWinRARゼロデイエクスプロイトを8万ドルで販売していたとの報告もある。

From: Russia’s RomCom among those exploiting a WinRAR 0-day in highly-targeted attacks

【編集部解説】

今回のWinRAR脆弱性CVE-2025-8088の事案は、サイバーセキュリティ業界にとって複数の重要な示唆を与えています。

まず注目すべきは、攻撃の時系列と対応の迅速性です。ESET研究者による7月18日の発見から、7月24日の開発者への通知、そして7月31日のパッチ適用まで、わずか13日間で対応が完了しました。これは近年のゼロデイ脆弱性対応としては異例の速さであり、責任ある開示（Responsible Disclosure）プロセスが効果的に機能した事例と言えます。

技術的な脅威の本質について深く掘り下げてみましょう。CVE-2025-8088は代替データストリーム（ADS）を悪用したパストラバーサル脆弱性で、CVSSスコア8.4という高深刻度を記録しています。この攻撃手法の巧妙さは、被害者には無害なファイルにしか見えない一方で、実際には複数の悪意あるADSを含んでいる点にあります。WinRARが展開時にこれらを同時に処理することで、攻撃者は任意のディレクトリへファイル配置が可能になります。

標的化攻撃の高度化も見逃せません。RomComが使用したMythicエージェントは、ターゲット組織のドメイン名をハードコード化し、一致しない場合は自動終了する仕組みを持っています。また、SnipBotバリアントは最低69個の過去文書開封履歴を確認して、仮想環境での実行を回避する機能を備えています。これらは従来のマルウェア検知システムを巧妙に迂回する、極めて高度な技術的実装です。

サイバー犯罪エコシステムの変化という視点も重要です。今回「zeroplayer」というハンドルネームの人物が6月末にサイバー犯罪フォーラムで8万ドルでWinRARゼロデイエクスプロイトを販売していたことが判明しています。これは脆弱性の発見から商業化まで組織化されたサプライチェーンが存在することを示しており、ゼロデイ市場の成熟度と脅威の民主化を象徴しています。

地政学的影響の観点から見ると、ロシア系グループRomComとPaper Werewolfが同時期に同一脆弱性を悪用していた事実は興味深い符合です。これは国家支援型APTグループ間での情報共有や、共通の脆弱性調達ルートの存在を示唆している可能性があります。

将来への影響とリスク展望として、最も懸念されるのは脆弱性情報の公開後における悪用の拡散です。ESET研究者が警告するように、今後他の脅威アクターが同様のエクスプロイトを採用する可能性は極めて高いと考えられます。WinRARの約5億人というユーザーベースを考慮すると、この脆弱性の潜在的影響範囲は膨大です。

企業防御戦略への示唆としては、パッチ管理プロセスの重要性が改めて浮き彫りになりました。今回は幸いにもパッチが迅速に提供されましたが、企業側の更新適用速度がセキュリティリスクを左右します。また、メールセキュリティゲートウェイでのRAR形式ファイルの厳格な検査や、エンドポイント検知・応答（EDR）ソリューションによる異常な挙動監視の重要性も増しています。

今回でまた一つRomComによるゼロデイ悪用の重大な事例が加わり、同グループの技術的成熟度と持続的な脅威能力を証明しています。これは現代のサイバー脅威が単発的な攻撃ではなく、継続的な技術革新と戦術進化を伴う長期戦であることを示しています。

【用語解説】

CVE（Common Vulnerabilities and Exposures）
脆弱性を識別するための標準的な番号体系。セキュリティ研究者や企業間で脆弱性情報を共有するための共通識別子として機能する。

パストラバーサル攻撃
ファイルシステムの制限を回避して、本来アクセスできないディレクトリや領域にファイルを配置する攻撃手法。「../」などの特殊文字列を悪用する。

ゼロデイ脆弱性
ソフトウェアの開発者や一般に知られていない脆弱性。修正パッチが存在しないため、発見された場合の脅威レベルが極めて高い。

代替データストリーム（ADS）
Windowsファイルシステム（NTFS）の機能で、メインファイルに付随する隠されたデータ領域。マルウェアがファイルを隠蔽する手法として悪用される。

スピアフィッシング
特定の組織や個人を標的として、信頼できる送信者を装った精巧なフィッシングメール攻撃。一般的なフィッシングより高度で成功率が高い。

RAT（Remote Access Trojan）
感染したコンピュータへの遠隔操作を可能にするマルウェア。キーロガー、スクリーンショット取得、ファイル盗取などの機能を持つ。

バックドア
システムに不正な侵入経路を作成するマルウェア。攻撃者が継続的にシステムにアクセスできるよう設計されている。

シェルコード
プログラムの実行を乗っ取るために使用される小さなコード断片。メモリ上で直接実行され、より大きなペイロードのローダーとして機能する。

C2サーバー（Command and Control）
マルウェアが攻撃者からの指示を受信し、盗取したデータを送信するために通信する中央制御サーバー。

【参考リンク】

WinRAR公式サイト（外部）
WinRARの開発元RARLAB社が運営する公式サイト。最新版のダウンロードやセキュリティアップデート情報を提供している。

ESET公式サイト（日本）（外部）
スロバキアの総合セキュリティ企業ESETの日本法人サイト。企業・個人向けセキュリティソリューションを展開している。

BI.ZONE公式サイト（外部）
ロシアのサイバーセキュリティ企業。デジタルリスク管理とサイバー脅威インテリジェンスを専門とし、15カ国600以上の顧客にサービスを提供している。

Mythic C2フレームワーク（外部）
オープンソースのCommand & Controlフレームワーク。レッドチーム演習やペネトレーションテストで使用される多機能なC2プラットフォーム。

Palo Alto Networks Unit 42（外部）
Palo Alto Networksの脅威インテリジェンス部門。最新のサイバー脅威やマルウェア分析レポートを公開している。

【参考記事】

Security vulnerability in WinRAR actively exploited（外部）
ESETがCVE-2025-8088を発見し、RomComグループがスピアフィッシングメールでこの脆弱性を悪用していたことを報告。

Two groups exploit WinRAR flaws in separate cyber-（外部）
RomComとPaper Werewolf（別名Goffee）の2つのグループが、それぞれ独立してWinRARのゼロデイ脆弱性を悪用していたことを詳細に報告。

UAT-5647 targets Ukrainian and Polish entities with RomCom（外部）
Cisco TalosによるRomComグループ（UAT-5647として追跡）の詳細分析。RustyClawマルウェアの攻撃手法を解説。

Inside SnipBot: The Latest RomCom Malware Variant（外部）
Palo Alto NetworksのUnit 42によるSnipBot（RomComマルウェアの最新バリアント）の詳細分析。

Paper Werewolf: A Cyberespionage Group Turning to Destruction（外部）
2022年から活動するPaper Werewolfグループの詳細分析。ロシア組織を標的としたフィッシングメールとPowerRATを使用したリモートアクセス攻撃の手法を解説。