JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月3日、「JVN#59547048: WinRARにおけるシンボリックリンクベースの「Mark of the Web」チェックバイパスの脆弱性」において、ファイルアーカイバー「WinRAR」に脆弱性が存在すると伝えた。

この脆弱性を悪用されると、WinRARからシンボリックリンクを起動した場合にMoTWマーク(MoTW: Mark-of-the-Web)を無視される可能性がある。

  • JVN#59547048: WinRARにおけるシンボリックリンクベースの「Mark of the Web」チェックバイパスの脆弱性

    JVN#59547048: WinRARにおけるシンボリックリンクベースの「Mark of the Web」チェックバイパスの脆弱性

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-31334 - 安全ではない処理の実行前に警告しない脆弱性。攻撃者は細工したアーカイブファイルから実行可能ファイルにリンクしたシンボリックリンクを実行させることで、MoTWマークによる保護をバイパスできる可能性がある(CVSSスコア: 6.8)

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • WinRAR 7.11よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • WinRAR 7.11

MoTWマークはインターネットからダウンロードしたファイルやメールの添付ファイルなど、安全が確認されていないファイルを識別するWindowsのセキュリティ機能だ。Windows標準のファイルシステム「NTFS」に搭載された代替データストリーム(ADS: Alternate Data Stream)を利用し、ファイルの危険性を識別できるようにする。

WinRARはアーカイブファイルのMoTWマークを展開後のファイルに伝播する機能を持つ。これにより展開後のファイルにもMoTWマークが付加され、攻撃者が悪意のあるファイルを圧縮して配布しても実行時に警告できるようになる。

今回修正された脆弱性はこのセキュリティ機能のバイパスを可能にし、警告なしで悪意のあるコードの実行を可能にする。JPCERT/CCは脆弱性による影響を回避するため、開発者の提供する情報にもとづいてアップデートを適用するように推奨している。