zombie-zip

zombie-zipは、アンチウイルスソフトウェアを騙すことを狙う混乱テクニックです。
概念実証コードも作成されており、すでに顕在化した脅威となっています。
zombie-zipとは、どんなものなのでしょうか。

• CVE-2026-0866
  これはCVE番号が割りあてられた脆弱性として扱われています。
  ZIPファイルという複数のファイルやフォルダを1つにまとめ、データ容量を小さく（圧縮）したファイル形式があります。
  これは広く使われているファイル種別です。
  この形式はファイル群を1つのファイルにまとめる機能と圧縮して小さくする機能が利用できるようになっています。
  しかし、含めるファイル種別によっては圧縮してもほとんど圧縮できないものもあります。
  こういったものを集めてZIPファイルにする場合、圧縮機構を利用するのは処理の無駄になります。
  このような場合に対応できる機能として、ZIPファイルには圧縮をどのように取り扱うかの処理をパターン分けできる機能が搭載されています。
  この脆弱性はそこを突きます。
  圧縮した状態でZIPファイルを作成しているのに、圧縮状態を示すZIPのなかのフィールドには圧縮をしていない状態だと記録しておくのです。
  そうすることでアンチウイルスソフトウェアの解釈エンジンはファイルの内容を確認できなくなってしまいます。
  アンチウイルスソフトウェアの多くは基本的にZIPファイルのメソッドフィールドを信頼します。
  このため、内容を確認しようとするとZIPファイルの内容取得に失敗し、悪性のものがあるのかの検査ができなくできるということになります。

このような細工を施したZIPファイルを用意すれば、攻撃者はアンチウイルスソフトウェアの検査をすり抜けて悪意あるファイルを侵害環境に持ち込むことができるようになります。
脅威の攻撃者は、ヘッダーを無視し、アーカイブをその本来の姿、つまりZIPファイルで使用される標準のDeflateアルゴリズムを使用して圧縮されたデータとして扱うローダーを作成することで、自分としてはこのZIPファイルが正しく解釈できるようになります。
この手法はすでに概念実証コードが作成されて公開されています。

2026年3月12日時点では多くのアンチウイルスソフトウェアがこの問題に対応できない実装状態になっています。
利用者である私たちは、この問題に対するとき、アンチウイルスソフトウェアの安全化機能に頼ることはできません。
利用者ができることは、ファイルの入手元が確かに意図したところであることを確認する、など、丁寧にファイルを取り扱うということになると思います。

Antivirus and Endpoint Detection and Response Archive Scanning Engines may not properly scan malformed zip archives
https://kb.cert.org/vuls/id/976247