Update:セキュリティ研究者のコメントにより記事が更新されました。
Zombie ZIP」と呼ばれる新しいテクニックは、アンチウイルスやエンドポイント検出応答(EDR)製品などのセキュリティ・ソリューションからの検出を回避するために特別に作成された圧縮ファイルにペイロードを隠すのに役立つ。
WinRARや7-Zipのような標準的なユーティリティでファイルを解凍しようとすると、エラーが発生したり、データが破損したりします。このテクニックは、ZIPヘッダーを操作して解析エンジンをだまし、圧縮データを非圧縮データとして扱うようにする。
セキュリティ・ツールは、危険な可能性のあるアーカイブとしてフラグを立てる代わりに、ヘッダーを信頼し、ZIPコンテナ内のオリジナルのコピーであるかのようにファイルをスキャンする。
この “Zombie ZIP “テクニックは、Bombadil Systemsのセキュリティ研究者であるChris Aziz氏によって考案されたもので、VirusTotalに登録されている51のAVエンジンのうち50に対して有効であることが判明している。
「AVエンジンはZIP Methodフィールドを信頼する。Method=0(STORED)のとき、彼らはデータを生の非圧縮バイトとしてスキャンします。しかし、データは実際にはDEFLATEで圧縮されているため、スキャナは圧縮されたノイズを認識し、シグネチャを検出しません」と研究者は説明する。
そのため、スキャナーは圧縮されたノイズを認識し、シグネチャを発見できないのです」と研究者は説明する。「脅威行為者は、ヘッダーを無視するローダーを作成し、アーカイブを、最新のZIPファイルで使用されている標準的なDeflateアルゴリズムで圧縮されたデータとして扱うことができます。
研究者はGitHubで概念実証(PoC)を公開し、サンプル・アーカイブと、この方法がどのように機能するかについての詳細を共有している。
一般的な抽出ツール(7-Zip、unzip、WinRARなど)にエラーを発生させるには、データの整合性を保証するCRC値を、圧縮されていないペイロードのチェックサムに設定する必要があると研究者は述べている。
「しかし、宣言された方法を無視し、DEFLATEとして解凍する専用のローダーは、ペイロードを完全に回復します」とAziz氏は言う。
昨日、CERTコーディネーション・センター(CERT/CC)は、”Zombie ZIP “について警告を発し、不正な形式のアーカイブ・ファイルがもたらすリスクについての認識を高めるための情報を発表した。
不正なヘッダーはセキュリティ・ソリューションを騙す可能性があるが、同センターによれば、一部の抽出ツールはまだZIPアーカイブを正しく解凍できるという。
CVE-2026-0866という識別子がこのセキュリティ問題に割り当てられており、20年以上前に公開され、ESETアンチウイルス製品の初期バージョンに影響を与えた脆弱性CVE-2004-0935と類似しているとしている。
CERT/CCは、セキュリティツールベンダーに対して、圧縮方法フィールドを実際のデータと照らし合わせて検証すること、アーカイブ構造の不整合を検出するメカニズムを追加すること、より積極的なアーカイブ検査モードを実装することを提案しています。
ユーザーは、アーカイブファイル、特に未知の連絡先からのアーカイブファイルを注意深く扱い、解凍しようとしたときに「サポートされていない方法」というエラーが表示された場合は、直ちに削除する必要があります。
研究者は脆弱性に異議を唱える
複数のサイバーセキュリティ研究者が、この方法が脆弱性として分類されるべきでなく、CVEを受けるべきでもないと連絡してきた。
彼らは、この方法はマルウェアを配布するための有効な方法である一方で、通常のファイル構造の外側でファイルを破壊するため、ZIP抽出ツールやアンチウイルスが適切にファイルを抽出し、マルウェアをスキャンすることができないと主張しています。
“CVE-2026-0866が本物でないのは、この新しい方法で変更されたZIPファイルは、ターゲットシステム上で開くことができないからです。 そのため、脆弱性ではありません。
さらに、ファイルを展開するためにデバイス上でカスタムローダーを実行する必要があるため、そのデバイスはすでに危険にさらされている。
「標準的なunarchiverがこれらのZIPを解凍できないのであれば、なぜこれがCVEなのかよく理解できません」とGDataの研究者Karsten Hahn氏は疑問を呈した。
とGDataの研究者Karsten Hahnは疑問を呈している。”ファイルが破損したり暗号化されたりして、それを解凍するためにカスタムローダーを導入する必要がある場合、同じ結果になる。”
3/12/26更新:他のサイバーセキュリティ研究者からのフィードバックを追加。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
レッドレポート2026:ランサムウェアの暗号化が38%減少した理由
マルウェアはますます賢くなっています。レッドレポート2026では、新しい脅威がどのように数学を使ってサンドボックスを検出し、目に見えないところに隠れているかを明らかにしています。
110万件の悪意のあるサンプルの分析結果をダウンロードして、トップ10のテクニックを明らかにし、セキュリティ・スタックが盲点になっていないか確認してください。
Comments