WinRAR の脆弱性 CVE-2025-6218
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ファイルアーカイバおよび圧縮ユーティリティWinRARのセキュリティ上の欠陥を、既知の悪用脆弱性(KEV)カタログに正式に追加しました。CISAは、この脆弱性が実際に悪用されているという証拠を挙げ、組織と個人ユーザーの双方にとって懸念材料となっていると述べています。
この脆弱性は、CVSSスコア7.8でCVE-2025-6218として追跡されており、攻撃者が現在のユーザーのコンテキストでコードを実行できるパストラバーサルの脆弱性です。この脆弱性を悪用するには、標的のユーザーが悪意のあるウェブサイトにアクセスするか、特別に細工されたファイルを開く必要があります。
目次
欠陥の詳細とパッチのステータス
RARLAB は、2025 年 6 月にリリースされた WinRAR 7.12 でこの脆弱性に対処しました。この欠陥は Windows ベースのビルドにのみ影響し、Unix、Android、およびその他のプラットフォームのバージョンは影響を受けません。
この脆弱性により、攻撃者は Windows スタートアップ フォルダなどの機密システムの場所にファイルを配置し、次回のシステム ログイン時に意図しないコード実行を引き起こす可能性があります。
脅威アクターの活動
複数のサイバーセキュリティレポートによると、CVE-2025-6218 は 3 つの異なる脅威アクターによって悪用されています。
- GOFFEE(紙狼男)
- 苦い(APT-C-08 / マンリンファ)
- ガマレドン
- GOFFEEキャンペーン
2025年7月、GOFFEEはCVE-2025-6218と、別の深刻度の高いWinRARパストラバーサル脆弱性(CVSSスコア8.8)であるCVE-2025-8088を組み合わせ、フィッシングメールを介して組織を標的としたとされています。これらの攻撃は、企業環境への侵入を目的とした組織的かつ高度な攻撃を示唆しています。
苦いAPTエクスプロイト
南アジアを標的とするAPTグループBitterは、この脆弱性を武器化し、侵入したシステム上での持続性を維持し、軽量ダウンローダーを使用してC#トロイの木馬を展開しました。この攻撃には、「Provision of Information for Sectoral for AJK.rar」というRARアーカイブが使用され、無害なWord文書と悪意のあるマクロテンプレートが含まれていました。
攻撃の主な仕組みは次のとおりです。
- Normal.dotm を Microsoft Word のグローバル テンプレート パスにドロップすると、Word を開くたびにマクロが自動的に実行されるようになります。
これらのアーカイブは主にスピアフィッシング キャンペーンを通じて配布されます。
ガマレドンの搾取
ロシアと関係のあるGamaredonグループは、ウクライナの軍、政府、政治、行政機関を標的としたフィッシングキャンペーンでもCVE-2025-6218を悪用しています。「Pteranodon」と名付けられたこのマルウェアは、2025年11月に初めて確認されました。
証拠は、これが日和見的な活動ではないことを示しています。これは、ロシアの国家情報機関によって調整された、組織化された軍事志向のスパイ活動と破壊活動です。さらに、GamaredonはCVE-2025-8088を悪用してVisual Basic Scriptマルウェアを配信し、GamaWiperと呼ばれる破壊的ワイパーを展開しました。これは、同グループがスパイ活動から破壊活動へと移行した最初の例です。
セキュリティチームにとっての教訓
組織とセキュリティ チームは、次のアクションを優先する必要があります。
- WinRAR を実行しているすべての Windows システムがバージョン 7.12 以降に更新されていることを確認します。
- フィッシング キャンペーン、特に RAR アーカイブや Word 文書を含むスピア フィッシング メールに対しては、引き続き警戒してください。
- 永続的なバックドア、キーロギング、または C2 通信の試行を示す疑わしいアクティビティを監視します。
- 国家が支援する攻撃者が標的型攻撃のために複数の脆弱性を組み合わせる可能性があることを認識します。
こうした高度な脅威を軽減し、CVE-2025-6218 などの脆弱性が悪用された場合の運用上の影響を制限するには、プロアクティブなパッチ適用、電子メール セキュリティ ハイジーン、エンドポイント監視が不可欠です。
