CVE-2025-8088検知：WinRARゼロデイがRomComマルウェアインストールに悪用中

夏が最盛期を迎える中、サイバー脅威の状況も急速に激化しています。先日公開された CVE-2025-8292、ChromeのMedia StreamにおけるUse-After-Free脆弱性に続き、セキュリティ研究者は新たなWinRARゼロデイを悪用してRomComマルウェアを配布する攻撃を確認しました。

CVE-2025-8088として追跡されているこのWinRARのWindows版におけるパストラバーサル脆弱性は、悪意あるアーカイブファイルを作成することで攻撃者が任意コードを実行可能にします。キャンペーンの具体的な手口や背後の脅威アクターは不明ですが、RomComバックドアの使用はロシア系ハッカー集団の関与が示唆されています。

RomCom配布のためのCVE-2025-8088悪用試行を検知する

今年NISTにより29,000件以上の新規脆弱性が記録されており、サイバーセキュリティチームの対応は急務です。脆弱性悪用は依然として主要な攻撃手段であり、サイバー脅威の高度化に伴い、積極的な検知が攻撃面の縮小とリスク軽減に不可欠です。

SOC Primeプラットフォームに今すぐ登録して、文脈を豊かにした検知ルールやAI駆動の脅威インテリジェンスの豊富なライブラリにアクセスし、新たな脆弱性を悪用した攻撃を一歩先で察知しましょう。当プラットフォームは、RomCom配布のための最新WinRARゼロデイ悪用に対応したキュレーション済み検知を提供し、AI検知エンジニアリング、自動脅威ハンティング、高度検知の完全な製品群を備えています。以下の「検知を探索」ボタンから関連検知スタックへアクセス可能です。

「検知を探索」

サイバー防御担当者はまた、Threat Detection Marketplaceにて「RomCom」および「CVE-2025-8088」タグで絞り込み、より特化したコンテンツを検索可能です。脆弱性悪用に関連する検知ルールの幅広いセットを探す場合は「CVE」タグを適用してください。

さらに、セキュリティ専門家はUncoder AIを活用して、脅威インフォームド検知エンジニアリングを加速できます。未加工の脅威レポートから検知アルゴリズムを生成し、高速IOC検索を実行、ATT&CKタグの予測、AIによるクエリコードの最適化、多様なSIEM、EDR、データレイク言語への翻訳を実現します。例として、最新のBleeping Computerの記事を基に、CVE-2025-8088の攻撃フローダイアグラムを数クリックで生成可能です。

CVE-2025-8088の分析

セキュリティ研究者は、WinRARの脆弱性CVE-2025-8088が標的型フィッシングキャンペーンにてゼロデイ攻撃として積極的に悪用され、RomComマルウェアの拡散に利用されていることを明らかにしました。このパストラバーサル脆弱性はWinRARのWindows版に影響し、悪意あるアーカイブファイルを作成することで任意コード実行が可能となります。

公式のアドバイザリによると、WinRARの旧バージョン（Windows版RAR、UnRAR、ポータブルUnRARソースコードおよびUnRAR.dllを含む）は、ファイル展開時に悪意のあるパスを使用するよう騙される可能性があり、不正な場所へファイルを配置される恐れがあります。

具体的には、攻撃者はユーザー固有の%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startupやシステム全体の%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUpといった自動起動フォルダに悪意ある実行ファイルを展開可能です。これにより、ユーザーの次回ログイン時にマルウェアが自動実行され、RomComバックドアのリモートコード実行が実現されます。

なお、Unix版RAR、UnRAR、ポータブルUnRARソースコード、UnRARライブラリ、Android用RARはこの脆弱性の影響を受けません。

RomComマルウェアファミリーは、UAT-5647、Storm-0978、Tropical Scorpius、UAC-0180、UNC2596といった複数の別名を持つロシア系ハッカー集団に関連付けられています。このグループは悪名高いCubaランサムウェアの背後にいると考えられており、高度なハッキング技術で知られ、2019年以降活動しています。RomCom RATやSystemBCを含む多様なマルウェアを展開することで悪名高いです。2022年には、ウクライナ政府機関を狙ったRomComバックドアを用いた攻撃が行われ、モスクワ政府のためのサイバー諜報活動との関連が示唆されています。

この脆弱性はESETの研究者Anton Cherepanov氏、Peter Košinár氏、Peter Strýček氏によって発見され、ベンダーに報告されました。問題は2025年7月30日リリースのWinRARバージョン7.13で修正されているため、ユーザーは速やかに安全なバージョンへアップデートすることが推奨されます。また、攻撃者に先んじて潜在的な脆弱性悪用の検知を強化するために、セキュリティチームはAI・自動化・リアルタイム脅威情報を活用したSOC Primeの包括的製品群に頼ることが可能です。これにより、組織の防御力を大規模に強化できます。