この記事をおすすめしました
おそろしい
なにそれこわい//正しい公式サイトのドメインを知るすべがないと何も信用できなくなってしまう
「偽物の方が署名付きで安全に見える」とかいうトラップ、マジで性質が悪すぎる
書かれているがWindows環境でのアプリケーションのインストールはまずwingetを当たるようにした方がいいと思っている。
無理ゲーすぎんだろ。検索エンジン側も対策してほしい。商品名でググった時に偽ECサイトもバンバン出てくる。
よくある拡張子とかソフト名とか常駐するサービス名で検索すると、とりあえずという感じで汚染されてる。とても嫌。
“7-Zipは公式Webサイト www.7-zip.org の他に、非公式のWebサイトが複数存在しています。その内の1つ 7zip[.]com において、2026年1月より、不審なファイル”
奥村先生の環境だと検索でWikipediaの次に出てる。 騙された人多そう https://x.com/i/status/2014293886051729575 7-zip[.]opensource[.]jpはメンテされてるとのこと https://x.com/i/status/2014318695880040522 / 今試したらBing上から2番目に非公式出てきた
公式サイトを認知してなかったら、検索順位の高い非公式の胡乱なインストーラ踏んじゃうよなあ。
本家はロシア開発だからこっちにしましょう(罠)ってこと?
最近は、そもそもフリーソフトをインストールする機会が少ないけど、以前はvectorでダウンロードするのが安心だと思ってたな。「公式Webサイトは https://www.7-zip.org/ です」←.comを持ってないのがな。
この手のツールは窓の杜から辿るようにしてる。あらゆるソフトの公式サイトを把握することはできないので、信頼できるまとめサイトの存在意義が高まってるな。
サポートされなくなった .lzhファイルの解凍ツールの一つとしての7-Zip, 他にもExplzhとシェアウェア・試用版になるけどWinrar等
検体はVirusTotalでこんな感じ https://www.virustotal.com/gui/file/408a89bc9966e76f3a192ecbf47b36fdc8ddaa4067aaee753c0bd6ae502f5cea
7-zipってWin11では標準搭載されてるからわざわざ外部からダウンロード/インストールする必要ないと思うのだが...
この手の有名ツールは基本的にwingetでインストールするのでもっと信頼性が高いポイントを攻撃されない限りはさすがに大丈夫そうだなあ。
基本は窓の社経由にしてるけど、そこでも混入あったしな。
“当該インストーラは電子署名されている。公式のインストーラは電子署名がされていない”
“当該インストーラは電子署名されている。公式のインストーラは電子署名がされていない” これは良くないね
OSSは改造して公開してもいいのでウィルスを入れても気づかないし、資本投入すればサイトの上位表示可能。
なりすまし増えてるよな。迷惑メールもほぼ100%なりすまししか来ない。
Wayback Machine見たら2023年末ごろから7zip配布やってるっぽい。
wingetで提供されてるなら、もうできるだけwinget使うようにした方が良さそう。
7-Zip公式Webサイトのランクが低すぎるな。今検索したら俺の環境だと2ページ目だったぞ
正規の配布元以外から取得したらそりゃ何入ってるかわからんでしょ。さすがに油断しすぎ。
呼ばれたわけではないけど何か騒がしいから来ました
見てる
Windowsにも公式のパッケージマネージャーがある時代。もっと活用しよう
wingetをどこまで信頼していいのか、いまいち自信が持てない。
“攻撃者の目的は不明ですが、当該ファイルはVPN機能を持つようであり、攻撃者による端末へのリモートアクセスや、端末上のファイルを攻撃者のインフラにアップロードするなどの使われ方が想定されます”
“7zip[.]comについて、不審なファイルをインストールするものとして7-Zipのフォーラムで取り上げられています。このWebサイトは検索すると上位に表示されることから、注意が必要です。 ”
"7-Zipの公式サイトは https://www.7-zip.org/ です"
とはいえ、もう Windows標準で解凍できるし、よほどの理由がなければサードパーティソフトは不要じゃね?
未だに未署名のアプリがゴロゴロしてる所為で署名が狼少年化してる
詐欺サイトばかり上に出るんだよなGoogle。新しい優先で? 通販とか。Windows標準の展開ソフトは割と遅かったり、mac由来の文字化け対応できなかったりするので… https://x.com/IIJ_doumae/status/2014281905618014510
wingetで入るものはwingetで入れるようにしているが、そっちが間違えて非公式なやつ入れないとは限らないのがな…一応Github Issueとかで確認してから入れているようではあった
そろそろウェブディレクトリのポータルサイト時代に戻るべきなのでは
公式はgithubなりにソースと共にバイナリも置いてsha256を添えておいて欲しいかな。まぁgithubも無条件では信頼できないけど。/俺はchocolateryで入れる事が多いので後で確認しとくか。/msstoreがキモいのも悪い。
最近は NanaZip に乗り換えました。ただ、フォークで同じようなことされても気づけないのよね。作者を信じるしかない。
comだと記憶しておかないと騙される、info net org は時々あるからな
これ、パルマー時代のMSだったら「得体の知れない野良サイトの野良アプリでなく、Storeアプリだけを利用すべき」みたいなFUDをやってたかもなあ。
wingetコマンドで入れていくのがよいかな。もうインストーラーをWEBサイトからダウンロードするのは時代遅れになりつつあるのかもしれない。セキュリティ的にヤバい
Googleは検索順位下がっているようだけれども、Bingは2番目に偽サイトが浮上してくるのが続いているのがまずそうなところの
Googleで検索したら今は上位には出てこないっぽい。仕事早いな。ちなBingは
普段使ってる。どのサイトからDLしたか覚えてないー/怪しげwebサイトといえば、昔の玩具名などでぐぐるとコメリのファビコンを使ったオクメルカリ写真転載してるサイトが最近いくつも出てくる(例:ウイングクリスで検索)
偽サイトの方がUIが綺麗らしく騙される人が多いらしい
いやこれは無理ゲー・・。検索サイトがどうにかしてくれないと
インストーラーの署名、地味に面倒なんだよな『当該インストーラは電子署名されている。公式のインストーラは電子署名がされていない』/ 偽サイトの方が希少そうなcomドメインなのも面白い
個人作成のフリーソフト以外は、基本的に「窓の杜」経由でしか使わないようにしてるが、それも100%安全ではないしなあ。やっぱ、故意の詐欺は国際的に最高刑を死刑にすべきなのよ。
うーむ。検索エンジン側で対策してもらう以外の効果的な対策が無いよな。行政のようにドメインで判断みたいなのもできないしなあ
最近はアプリはできるかぎり UniGetUI で管理してる。
回避するの難しいやつだ
“7zip[.]comについて、不審なファイルをインストールするものとして7-Zipのフォーラムで取り上げられています” 〔公式は https://www.7-zip.org/の由〕
Firefoxは検索するまでも無く、7-zipと入力すると .org が補完された。他のソフトウェアだとWindows版だけ公式からリンクされたサードパーティーがビルドして配布サイトも違ったりして、危ないなあと思う。
パソコンの容量云々で検索すると、胡散臭いPCクリーナーアプリとかがじゃんじゃん上位に出てくるのもどうにかしてほしい…。検索もAIチャットも、結局利用者のネットリテラシーが試される…。
windows標準の解凍ツールはパスが長いと解凍コケるからな。作りが甘い。解凍速度も比較的遅いので、7zipお世話になってるから困る
scoop、chocolatey、wingetから入れる時代…(なおwingetのパッケージの信用度はその登録方法を鑑みてそのソフトの公式に書いてない限りちょっと低いものとする)
元はマトモだった配布サイトが乗っ取られたか不正書き換えされたとかなんだろうか? / 7zip Windows11で検索すると2番目に出てくる。やばい
「ダウンロード」と一緒に検索すると公式サイトより上に色々出てくるな。こりゃわからんわ。Windowsストアとかwingetとか使う方が良いわね。野良インストーラ怖いねぇ。UniGetUI良いな。俺も使ってみよ。
python.jp(非公式のpythonコミュニティ主導のページ)も一瞬詐欺サイト疑ったんだよな / 歴史あるソフトのDLはモダンなページであるほど疑ってしまう
Webアクセスの他に、7-Zipの場合はwingetコマンドを用いてインストールすることも可能です
あーちゃんと公式から入れたか思い出せんな……後で記事記載のフォルダ見てみないとダメか……
1アプリだけではなく、ストア単位でこの危険性を高めるEU、そしてそれを後追いする日本
今回の一連の記事で、7-Zipの検索性がさらに下がった感がある。
これは間違えてしまいそう。基礎的なアプリはOSインストール時に入れて後は放置、ってことが多くて入れるタイミングも少ないから、正しいドメインなんて忘れがちだし
怪しいやつ:電子署名されてる、本家:されてない。サイト、怪しいやつ:7-zip.com、本家:7-zip.org
水飲み場攻撃やサプライチェーン攻撃は目立って見られるようになってきたよね
東京で錦妤閣の東京・大阪出張サービスを体験しました。 女の子は可愛くて、サービスもとても良かったです。
最近はWindowsでオンラインからソフト入れる時は、まずUniGetUI(winget他の拡張GUIソフト)を検索するようにしてる
やっぱwingetよ と言いたいけど、間違いなく信頼出来てるかはなんとも言えない
zip版でも同じ?
アップデートの際はバージョン情報のボタンから公式サイトを開くのが確実か。
非公式7-Zip Webサイトにて公開されているインストーラによる不審なファイルの展開
この記事をおすすめしました
おそろしい
なにそれこわい//正しい公式サイトのドメインを知るすべがないと何も信用できなくなってしまう
「偽物の方が署名付きで安全に見える」とかいうトラップ、マジで性質が悪すぎる
書かれているがWindows環境でのアプリケーションのインストールはまずwingetを当たるようにした方がいいと思っている。
無理ゲーすぎんだろ。検索エンジン側も対策してほしい。商品名でググった時に偽ECサイトもバンバン出てくる。
よくある拡張子とかソフト名とか常駐するサービス名で検索すると、とりあえずという感じで汚染されてる。とても嫌。
“7-Zipは公式Webサイト www.7-zip.org の他に、非公式のWebサイトが複数存在しています。その内の1つ 7zip[.]com において、2026年1月より、不審なファイル”
奥村先生の環境だと検索でWikipediaの次に出てる。 騙された人多そう https://x.com/i/status/2014293886051729575 7-zip[.]opensource[.]jpはメンテされてるとのこと https://x.com/i/status/2014318695880040522 / 今試したらBing上から2番目に非公式出てきた
公式サイトを認知してなかったら、検索順位の高い非公式の胡乱なインストーラ踏んじゃうよなあ。
本家はロシア開発だからこっちにしましょう(罠)ってこと?
最近は、そもそもフリーソフトをインストールする機会が少ないけど、以前はvectorでダウンロードするのが安心だと思ってたな。「公式Webサイトは https://www.7-zip.org/ です」←.comを持ってないのがな。
この手のツールは窓の杜から辿るようにしてる。あらゆるソフトの公式サイトを把握することはできないので、信頼できるまとめサイトの存在意義が高まってるな。
サポートされなくなった .lzhファイルの解凍ツールの一つとしての7-Zip, 他にもExplzhとシェアウェア・試用版になるけどWinrar等
検体はVirusTotalでこんな感じ https://www.virustotal.com/gui/file/408a89bc9966e76f3a192ecbf47b36fdc8ddaa4067aaee753c0bd6ae502f5cea
7-zipってWin11では標準搭載されてるからわざわざ外部からダウンロード/インストールする必要ないと思うのだが...
この手の有名ツールは基本的にwingetでインストールするのでもっと信頼性が高いポイントを攻撃されない限りはさすがに大丈夫そうだなあ。
基本は窓の社経由にしてるけど、そこでも混入あったしな。
“当該インストーラは電子署名されている。公式のインストーラは電子署名がされていない”
“当該インストーラは電子署名されている。公式のインストーラは電子署名がされていない” これは良くないね
OSSは改造して公開してもいいのでウィルスを入れても気づかないし、資本投入すればサイトの上位表示可能。
なりすまし増えてるよな。迷惑メールもほぼ100%なりすまししか来ない。
Wayback Machine見たら2023年末ごろから7zip配布やってるっぽい。
wingetで提供されてるなら、もうできるだけwinget使うようにした方が良さそう。
7-Zip公式Webサイトのランクが低すぎるな。今検索したら俺の環境だと2ページ目だったぞ
正規の配布元以外から取得したらそりゃ何入ってるかわからんでしょ。さすがに油断しすぎ。
呼ばれたわけではないけど何か騒がしいから来ました
見てる
Windowsにも公式のパッケージマネージャーがある時代。もっと活用しよう
wingetをどこまで信頼していいのか、いまいち自信が持てない。
“攻撃者の目的は不明ですが、当該ファイルはVPN機能を持つようであり、攻撃者による端末へのリモートアクセスや、端末上のファイルを攻撃者のインフラにアップロードするなどの使われ方が想定されます”
“7zip[.]comについて、不審なファイルをインストールするものとして7-Zipのフォーラムで取り上げられています。このWebサイトは検索すると上位に表示されることから、注意が必要です。 ”
"7-Zipの公式サイトは https://www.7-zip.org/ です"
とはいえ、もう Windows標準で解凍できるし、よほどの理由がなければサードパーティソフトは不要じゃね?
未だに未署名のアプリがゴロゴロしてる所為で署名が狼少年化してる
詐欺サイトばかり上に出るんだよなGoogle。新しい優先で? 通販とか。Windows標準の展開ソフトは割と遅かったり、mac由来の文字化け対応できなかったりするので… https://x.com/IIJ_doumae/status/2014281905618014510
wingetで入るものはwingetで入れるようにしているが、そっちが間違えて非公式なやつ入れないとは限らないのがな…一応Github Issueとかで確認してから入れているようではあった
そろそろウェブディレクトリのポータルサイト時代に戻るべきなのでは
公式はgithubなりにソースと共にバイナリも置いてsha256を添えておいて欲しいかな。まぁgithubも無条件では信頼できないけど。/俺はchocolateryで入れる事が多いので後で確認しとくか。/msstoreがキモいのも悪い。
最近は NanaZip に乗り換えました。ただ、フォークで同じようなことされても気づけないのよね。作者を信じるしかない。
comだと記憶しておかないと騙される、info net org は時々あるからな
これ、パルマー時代のMSだったら「得体の知れない野良サイトの野良アプリでなく、Storeアプリだけを利用すべき」みたいなFUDをやってたかもなあ。
wingetコマンドで入れていくのがよいかな。もうインストーラーをWEBサイトからダウンロードするのは時代遅れになりつつあるのかもしれない。セキュリティ的にヤバい
Googleは検索順位下がっているようだけれども、Bingは2番目に偽サイトが浮上してくるのが続いているのがまずそうなところの
Googleで検索したら今は上位には出てこないっぽい。仕事早いな。ちなBingは
普段使ってる。どのサイトからDLしたか覚えてないー/怪しげwebサイトといえば、昔の玩具名などでぐぐるとコメリのファビコンを使ったオクメルカリ写真転載してるサイトが最近いくつも出てくる(例:ウイングクリスで検索)
偽サイトの方がUIが綺麗らしく騙される人が多いらしい
いやこれは無理ゲー・・。検索サイトがどうにかしてくれないと
インストーラーの署名、地味に面倒なんだよな『当該インストーラは電子署名されている。公式のインストーラは電子署名がされていない』/ 偽サイトの方が希少そうなcomドメインなのも面白い
個人作成のフリーソフト以外は、基本的に「窓の杜」経由でしか使わないようにしてるが、それも100%安全ではないしなあ。やっぱ、故意の詐欺は国際的に最高刑を死刑にすべきなのよ。
うーむ。検索エンジン側で対策してもらう以外の効果的な対策が無いよな。行政のようにドメインで判断みたいなのもできないしなあ
最近はアプリはできるかぎり UniGetUI で管理してる。
回避するの難しいやつだ
“7zip[.]comについて、不審なファイルをインストールするものとして7-Zipのフォーラムで取り上げられています” 〔公式は https://www.7-zip.org/の由〕
Firefoxは検索するまでも無く、7-zipと入力すると .org が補完された。他のソフトウェアだとWindows版だけ公式からリンクされたサードパーティーがビルドして配布サイトも違ったりして、危ないなあと思う。
パソコンの容量云々で検索すると、胡散臭いPCクリーナーアプリとかがじゃんじゃん上位に出てくるのもどうにかしてほしい…。検索もAIチャットも、結局利用者のネットリテラシーが試される…。
windows標準の解凍ツールはパスが長いと解凍コケるからな。作りが甘い。解凍速度も比較的遅いので、7zipお世話になってるから困る
scoop、chocolatey、wingetから入れる時代…(なおwingetのパッケージの信用度はその登録方法を鑑みてそのソフトの公式に書いてない限りちょっと低いものとする)
元はマトモだった配布サイトが乗っ取られたか不正書き換えされたとかなんだろうか? / 7zip Windows11で検索すると2番目に出てくる。やばい
「ダウンロード」と一緒に検索すると公式サイトより上に色々出てくるな。こりゃわからんわ。Windowsストアとかwingetとか使う方が良いわね。野良インストーラ怖いねぇ。UniGetUI良いな。俺も使ってみよ。
python.jp(非公式のpythonコミュニティ主導のページ)も一瞬詐欺サイト疑ったんだよな / 歴史あるソフトのDLはモダンなページであるほど疑ってしまう
Webアクセスの他に、7-Zipの場合はwingetコマンドを用いてインストールすることも可能です
あーちゃんと公式から入れたか思い出せんな……後で記事記載のフォルダ見てみないとダメか……
1アプリだけではなく、ストア単位でこの危険性を高めるEU、そしてそれを後追いする日本
今回の一連の記事で、7-Zipの検索性がさらに下がった感がある。
これは間違えてしまいそう。基礎的なアプリはOSインストール時に入れて後は放置、ってことが多くて入れるタイミングも少ないから、正しいドメインなんて忘れがちだし
怪しいやつ:電子署名されてる、本家:されてない。サイト、怪しいやつ:7-zip.com、本家:7-zip.org
水飲み場攻撃やサプライチェーン攻撃は目立って見られるようになってきたよね
東京で錦妤閣の東京・大阪出張サービスを体験しました。 女の子は可愛くて、サービスもとても良かったです。
最近はWindowsでオンラインからソフト入れる時は、まずUniGetUI(winget他の拡張GUIソフト)を検索するようにしてる
やっぱwingetよ と言いたいけど、間違いなく信頼出来てるかはなんとも言えない
zip版でも同じ?
アップデートの際はバージョン情報のボタンから公式サイトを開くのが確実か。