2026年1月、7-Zipの非公式サイトに掲載されたWindows向けインストーラから、不審なファイルが展開される事象が確認されました。公式サイトは7-zip.orgですが、検索結果上位に現れる7zip[.]comがフォーラムで問題視されており、当該サイトのWindows x64・x86のダウンロード先がupdate.7zip[.]cloudに変更されています。これにより、インストール処理の裏で不審ファイルが配置されるケースが発生しています。Windows ARMやLinux、macOSのリンクは公式サイトに向いている一方で、Windows版のみ挙動が異なる点が特徴です。複数組織で当該実行ファイルの実行が確認されており、影響の広がりに注意が必要です。
当該インストーラには、電子署名の有無やバージョン表記に不整合が見られます。タイトルが「7-Zip 22.01 Setup」で、実際にインストールされるバージョンも22.01であるのに対し、署名日時は2026年1月となっています。公式のインストーラは電子署名がない点も相違です。確認されたSHA-256は408a89bc9966e76f3a192ecbf47b36fdc8ddaa4067aaee753c0bd6ae502f5ceaです。実行時にはC¥Windows¥SysWOW64¥heroが作成され、hero.exeが「Helper Service」として登録され、Windows起動時にSYSTEM権限で自動実行されます。通常、SysWOW64配下に個別アプリケーションは配置されないため、明確な異常兆候といえます。当該ファイルはVPN機能を持つとみられ、攻撃者によるリモートアクセスやファイル送信に悪用される恐れがあります。
対策として、7-Zipは公式ドメインを確認して入手してください。wingetの活用も有効です。既に当該インストーラを実行した可能性がある場合は、SysWOW64配下のheroディレクトリとサービス登録の有無を点検し、ネットワーク接続の不審挙動を監視してください。
