WinRARの脆弱性、ハッカーに悪用され続ける（CVE-2025-8088）

yab

2026.01.29

WinRARの脆弱性、ハッカーに悪用され続ける（CVE-2025-8088）

Help Net Security – January 28, 2026

Mandiantは、2025年7月に修正されたWindows版WinRARの脆弱性（CVE-2025-8088）を国家支援型ハッカーや金銭目的の攻撃者が悪用し続けていると報告した。

CVE-2025-8088はWinRARに存在する深刻なパストラバーサルの脆弱性で、代替データストリーム（ADS）を介して悪用が可能。攻撃者が作成した有害なRARファイルを脆弱なバージョンのWinRARで開くと、システム上の任意の場所にファイルを書き込めるようになるそう。一般的なエクスプロイトチェーンでは、アーカイブ内のおとりファイル（PDF文書など）のADS内に悪意のあるファイルが設置される。ユーザーがおとりファイルを展開するとADSコンテンツ（malicious.lnk）がトラバーサルパスが指定した場所に抽出され、その後ユーザーがログインした際にペイロードが自動的に実行されるとのこと。

2025年7月〜8月に観測された攻撃では、RomCom（別名Storm-0978）とPaper Werewolf（別名Goffee）の両者がベンダー「zeroplayer」からエクスプロイトを入手したとみられる。これ以降、複数の脅威アクターによるCVE-2025-8088の悪用が確認されており、有害なChrome拡張機能、バックドア、RAT、情報窃取マルウェアなどが配布されている。ロシア系APTのSandworm（別名APT44）、Trula（別名SecretBlizzard）、TEMP.Armageddon（別名CARPATHIAN）はウクライナに対するサイバースパイ活動の目的で利用し、中国系アクターもリモートアクセス型トロイの木馬（RAT）を配信するために脆弱性を悪用していたという。それ以外の地域の脅威アクターも金銭目的で企業や組織を標的にしている模様。Mandiantの分析では、zeroplayerのようなベンダーの存在によって、攻撃に必要な技術やリソースが軽減されるため、多種多様な動機を持ったアクターが独自の活動に利用できるという。

WinRARには自動更新機能がないため、問題を修正するには新しいバージョン（WinRAR 7.13）をダウンロードし、既存のインストールを上書きする必要がある。このバージョンではCVE-2025-8088に加え、別の脆弱性（CVE-2025-6218）にも対処できる。