Zombie ZIP(ゾンビZIP)とは?セキュリティソフトをすり抜ける新手の攻撃手法
Zombie ZIPとは
Zombie ZIPとは、ZIPファイルの内部情報を意図的に書き換えることで、ウイルス対策ソフトの検査をすり抜けるマルウェアの隠し方です。普通の解凍ソフトでは開けない「壊れたファイル」に見えますが、攻撃者の専用ツールを使うと中のウイルスを実行可能です。
メールに添付されたZIPファイルを何気なく開いた経験は誰にでもあるかと思います。請求書、資料、ソフトウェアのアップデートなど、ZIPファイルは日常的なやり取りでよく使われる形式です。
しかし最近、セキュリティの専門家たちがある重大な問題を発見しました。悪意ある人物が少し細工を加えるだけで、ZIPファイルの中に潜ませたウイルスやマルウェア(悪意のあるソフトウェア)が、51種類のウイルス対策ソフトのうち50種類を素通りしてしまうというのです。
これが「Zombie ZIP(ゾンビZIP)」と呼ばれる攻撃手法です。2026年3月に公式な警告が出され、世界のセキュリティ担当者の間で大きな話題になっています。
この記事では、専門知識がなくてもZombie ZIPの仕組みと危険性、そして身を守るための方法が理解できるよう、できるだけわかりやすく解説します。
目次
Zombie ZIPとは何か
Zombie ZIPとは、ZIPファイルに細工を加えてウイルス対策ソフトの検査をすり抜けるようにした、マルウェア(悪意のあるソフトウェア)の隠し方のことです。
「ゾンビ」という名前の由来は、このファイルの奇妙な性質にあります。
・普通の解凍ソフトで開こうとすると:「壊れたファイルです」とエラーになる → 見かけ上は"死んでいる"
・攻撃者が用意した専用プログラムで開くと:問題なく展開してマルウェアを実行できる → 実際には"動いている"
死んでいるのに動き続けるゾンビ、まさにそのままの姿です。
なぜウイルス対策ソフトが騙されるのか
ZIPファイルの「目次」を偽造する
少し技術的な話になりますが、ZIPファイルの中には、目に見えない「目次(ヘッダー情報)」が存在します。この目次には「このファイルはどんな方法で圧縮されているか」という情報が書かれています。
ウイルス対策ソフトは、ZIPファイルを検査するときにまずこの目次を読んで、「どうやって中身を取り出すか」を判断します。
Zombie ZIPでは、この目次の情報を意図的に偽造します。
ウイルス対策ソフトは目次の情報を信じて、「非圧縮の生データ」として中身を調べます。しかし実際のデータは圧縮されているため、ウイルス対策ソフトが見るのは意味のある情報ではなく「圧縮されたノイズ」です。ウイルスのパターンを見つけられず、「問題なし」と判断してしまいます。
攻撃者の専用プログラムは逆に目次の情報を無視して、実際の圧縮を解いてマルウェアを取り出します。
ウイルス対策ソフトの「信頼」が裏目に
この問題の本質は、ウイルス対策ソフトがZIPファイルの目次を「そのまま信じてしまう」設計になっていることです。
これは人間に例えると、「証明書の内容を読んで確認せず、証明書が存在することだけを確認する」ようなものです。偽造された証明書であっても疑わずに通してしまう状況に似ています。
検査をすり抜けた後、どのように動作するのか
ウイルス対策ソフトをすり抜けたZombie ZIPは、その後どのような手順で実際に被害を起こすのでしょうか。まだ大規模に利用されていないため想定を交えて説明します。
ステップ1:フィッシングメールで届く
攻撃のほとんどは、偽のメールに添付されたZombie ZIPファイルから始まります。例えば以下のような形です。
- 「お荷物の配送が完了できませんでした。詳細は添付ファイルをご確認ください」(宅配業者を装ったメール)
- 「先日お送りした請求書を再送します」(取引先を装ったメール)
- 「セキュリティアップデートが必要です。添付のファイルを実行してください」(社内ITを装ったメール)
このとき、メールサーバーやウイルス対策ソフトはZombie ZIPの中身を正しく検査できないため、添付ファイルは「安全」と判定されて受信トレイに届きます。
ステップ2:ユーザーがZIPファイルを開こうとする
受け取ったユーザーがZIPファイルを開こうとすると、一般的な解凍ソフトでは「ファイルが壊れています」というエラーが表示されます。
ここで多くのユーザーは「メールが壊れて届いたのかな」と思いますが、攻撃者はここに罠を仕掛けています。
メール本文には「うまく開けない場合は、添付の解凍ツールをお使いください」と書かれています。
ステップ3:攻撃者の「専用解凍ツール」を実行してしまう
ZIPファイルと一緒に、もう一つのファイル(「UpdateTool.exe」「ZipOpener.exe」といった無害そうな名前の実行ファイル)が添付されているか、あるいはメール本文にダウンロードリンクが記載されています。
ユーザーがこの「専用ツール」を実行すると、実は2つのことが同時に起こります。
1. 表向き:Zombie ZIPを正しく展開して、中身のファイル(偽の請求書PDFなど)を表示する
2. 裏側で:マルウェアを密かにインストールし、バックグラウンドで動き始める
ユーザーには「ようやくファイルが開けた」と見えるため、何も異常に気づかないまま感染が完了します
なぜ「専用ツールを使わせる」手口が有効なのか
「そんな見知らぬツールを実行するだろうか?」と思う方もいるかもしれません。
しかし、攻撃者はこの手口が有効であることを知っています。
ZIPファイルが「壊れている」というエラーが出ると、多くのユーザーは「自分の環境の問題」だと思いがちです。そこに「専用ツールで開けます」という案内があると、解決策として自然に受け入れてしまう心理を巧みに利用しています。
また、社名・担当者名・ロゴ入りの本物そっくりのメールを作ることは技術的に難しくないため、見た目だけでは偽物と判断できないケースが増えています。
「ウイルスを暗号化してすり抜ける手法」とは何が違うのか
「ウイルスを暗号化してセキュリティゲートウェイをすり抜ける手法は以前からあるのでは?」と感じた方も多いかと思います。確かに暗号化によるすり抜けも有名な手口ですが、Zombie ZIPはその仕組みと対策の難しさが根本的に異なります。
従来の「暗号化によるすり抜け」とは
暗号化を使ったすり抜けの代表的な手口は、パスワード付きZIPです。マルウェアをパスワードで保護したZIPに入れて送付すると、メールのセキュリティゲートウェイはZIPの中身を復号できないため、スキャンをスキップして通過させてしまいます。
Zombie ZIPが「より厄介」な理由
暗号化による手口は、長年の対策の積み重ねで検出・ブロックの仕組みが整ってきています。例えば多くのセキュリティゲートウェイには「パスワード付き添付ファイルを受信したときに警告を出す」「パスワード付きZIPをブロックする」というルールを設定する機能があります。つまり、ファイルの性質(パスワードがかかっている)という客観的なシグナルを手がかりに防御可能です。
一方、Zombie ZIPは異なります。このファイルにはパスワードがかかっておらず、暗号化もされていません。セキュリティゲートウェイから見ると普通のZIPファイルに見えます。ブロックするルールを作ろうにも、「何を手がかりにするか」が難しいのです。
| すり抜けの仕組み | 中身を復号できないためスキャンできない | 中身は技術的にスキャン可能だが、ツールが誤った方法で読もうとして見逃す |
| ウイルス対策ソフトの状態 | 「スキャン不能」と認識している | 「スキャンした、問題なし」と誤認している |
| 標準ツールでの解凍 | パスワードさえあれば普通に解凍できる | エラーが出て解凍できない |
| 検出の難しさ | パスワード付きZIPと判明すれば警告できる | 壊れたZIPにしか見えないため、警告の手がかりがない |
| 対策のとりやすさ | 「パスワード付き添付をブロック」で対応可能 | ブロックのルールを作りにくく、エンジン側の修正が必要 |
Zombie ZIPの対策
個人・一般社員向け:日常の注意点
技術的な対策はIT部門が担当するとしても、一般の社員でも実践できることがあります。
① 知らない相手からのZIPファイルは開かない
フィッシングメール(偽の宅配便会社、取引先を装ったメール)に添付されたZIPファイルは特に危険です。心当たりのない添付ファイルは、送信者に別の方法(電話など)で確認してから開くようにしましょう。
② 「別の解凍ツールを使って」という指示には従わない
ZIPを開こうとしてエラーが出たとき、「添付または案内されたツールを使えば開けます」という指示があっても、絶対に従わないでください。これはZombie ZIPの典型的な攻撃手口です。エラーが出た場合はIT部門に報告しましょう。
③ パスワード付きZIPの取り扱いに注意する
パスワード付きのZIPファイルはウイルス対策ソフトでの中身のスキャンが難しい状態です。「パスワードはメール本文に記載」という形式で送られてきたZIPは特に注意が必要です。
IT担当者・管理者向け:組織的な対策
① 使っているウイルス対策製品のベンダーに確認する
現在使用しているウイルス対策ソフトやEDR(エンドポイント検出・対応ツール)のベンダーに対して、CVE-2026-0866への対応状況を問い合わせましょう。多くのベンダーが対応を検討中または対応済みのはずです。
ALSOK関連コラム
② メールフィルタリングの設定を確認する
メールのセキュリティゲートウェイ(会社のメールを守るシステム)で、ZIPファイルのより深い検査が有効になっているか確認しましょう。またパスワード付きZIPのデフォルト受信ブロックも選択肢として検討に値します。
③ サンドボックスを活用する
サンドボックス(Sandbox)とは?
安全に隔離された仮想環境のことです。疑わしいファイルをここで実行して、実際に何をするか観察することで、パターンマッチング(ウイルスの特徴との照合)では検出できないマルウェアも発見可能です。
Zombie ZIPはパターンマッチングをすり抜けますが、サンドボックスで実際に動かすと「異常な動作」として検出できる可能性があります。
ALSOK関連コラム
④ 社員向け教育を実施する
「ZIPを開こうとしてエラーが出たら、別のツールを使わずIT部門に報告する」というシンプルなルールを社内に周知するだけでも、被害を未然に防ぐ大きな効果があります。特に「攻撃者が専用解凍ツールを使わせようとする」という手口を共有することが重要です。
まとめ
Zombie ZIPについて知っておくべき4つのポイント
- Zombie ZIPとは:ZIPファイルの内部情報を偽造して、ウイルス対策ソフトの検査をすり抜けるマルウェアの隠し方です
- 攻撃の流れ:フィッシングメールで届く → 標準ツールでエラーが出る → 「専用解凍ツール」を実行させられる → 気づかぬうちに感染
- 見分け方のヒント:「ZIPが開けないが、このツールを使えば開けます」という案内は攻撃の典型的なサインです
- 対策は:ウイルス対策ソフトをアップデートする、不審なZIPを開かない、エラーが出たら別ツールを使わずIT部門に報告する
Zombie ZIPは特別難しい技術ではありません。しかしだからこそ、誰でも悪用できる可能性があります。
大切なのは「自分は大丈夫」と思わないことです。ウイルス対策ソフトを過信せず、怪しいファイルは慎重に扱う基本的な心がけが、最大の防御になります。
サイバーセキュリティは技術だけでなく、使う人間の判断にも大きく依存しています。この記事をきっかけに、ご自身の職場や家庭のセキュリティ習慣を一度見直してみてください。
