2026年1月22日にIIJ（インターネットイニシアティブ）は超定番アプリである7-Zipの非公式サイトからのダウンロードに関する注意喚起の記事を投稿しました。Windowsユーザーにとっては定番どころか必携に近いソフトウェアであったため、インパクトのあるニュースとなりました。

wizSafeはIIJのセキュリティブランドサイトで、日々ネットセキュリティに関する最新のニュースや詳細な情報を伝えている、非常に有用なサイトです。

https://wizsafe.iij.ad.jp/category/warning/

そこで今回は、このニュースの詳細とフリーソフトの安全な入手方法についてまとめます。

7-Zip不正インストーラー騒動とは？

2026年1月、圧縮・解凍ソフトとして世界的に広く使われている「7-Zip」を巡り、非公式サイトから配布されているインストーラーにマルウェアが同梱されているとして、セキュリティ企業のIIJが注意喚起しました。7-Zip自体の安全性が問題になっているわけではなく、正規版に見せかけた不正インストーラーが配布されていることが問題の核心です。「7-Zip」はその知名度ゆえに利用された被害者側であることには留意が必要です。

本物の7-Zip自体は安全、問題は非公式インストーラー

7-Zipはオープンソースの圧縮・解凍ソフトです。多くのユーザーに愛用されており、WindowsではZIPや7zなど幅広い形式に対応しています。公式サイトは下記です。

https://www.7-zip.org/

なぜ今回のニュースが大きく話題になったのか？

今回の問題は、「7-Zip公式に見えるけれど実際は偽サイト」から配布されているインストーラーに、7-Zip本体とは別に不正なプログラムが混入されていたことです。要するに「本物の7-Zipはちゃんとインストールできるインストーラーだけど、他の不正ソフトも一緒にインストールする」ものだったということです。検索エンジンで「7-Zip ダウンロード」と検索すると、公式以外のサイトが上位に表示されるケースもあり、誤ってダウンロードしてしまうユーザーがいました。

具体的なサイト名を記載することは偽サイト側に利することになってしまうためここでは触れませんが、.comドメインのサイトが今回の偽サイトとのことです。本家本元は www.7-zip.org とorgドメインとなっています。ご注意ください。

不正インストーラーによる危険な仕組み

調査によれば、この不正インストーラーは次のような挙動をするようです。

• 正規の7-Zip本体のインストールは行われる
• しかし同時に hero.exe と呼ばれる不審なプログラム がインストールされる
• hero.exe は 「Helper Service」 としてWindows起動時にSYSTEM権限で自動起動する
• このプログラムには VPN機能のような通信機能が確認されており、外部からのアクセスやデータ送信などに悪用される恐れ があるとされています。

つまり、ユーザーが7-Zipをインストールしたつもりでも、攻撃者のコントロール下に端末が置かれる可能性があるのです。7-Zipそのものは正式な本物であり、使用にも何ら問題がない点がこの問題の厄介さであるともいえます。

フリーソフトを安全に手に入れる方法

フリーソフトを安全に入手するための、基本的なルールをふりかえっておきます。

公式サイトからのみダウンロードする

今回の7-Zipであれば https://www.7-zip.org からダウンロードするということです。最も基本的で効果的な対策となり得ます。

過去には公式が改ざんされた例や、かつては安全であった有名フリーソフトが身売りした結果、マルウェア入りのものとして生まれ変わった、などという例もないわけではありません。ダウンロード時点で定番であるソフトを公式のサイトがから手に入れることを心がけましょう。

信頼性の高い配布サイトのみを利用する

日本であれば「窓の杜」や「ベクター」のような信頼性の高いサイトからダウンロードすることも予防策となります。もちろん安全性が100%担保されているわけではありませんが、歴史ある老舗サイトが一定の基準を持って掲載しているソフトウェアには一定の信頼性があると考えられます。

• 窓の杜　https://forest.watch.impress.co.jp/
• ベクター　https://www.vector.co.jp/

パッケージ管理ツールを活用する

今回のような不正インストーラー問題の本質は、ブラウザで検索して偽サイトから落としてしまうという人間依存の導線にあります。パッケージ管理ツールはこのリスクを限りなく減らすことができます。

Windowsの場合

Windows パッケージ マネージャーWingetを使用します。Microsoftが管理するレポジトリを使用するため高い安全性が担保されます。7-Zipでしたら、コマンドプロンプトやPowerShellなどから下記コマンドを入力することでインストールすることが可能です。

winget install 7zip.7zip

Windowsの場合、すべてのフリーソフトがWingetで入手できるわけではないことが問題です。それでも世界的に有名なものであれば登録サれている可能性が高いため、第一優先の手段として使ってみましょう

macOSの場合

macOSで最も広く使われているパッケージ管理ソフトHomebrewを使用することが定番となります。標準ターミナルから下記コマンドでインストールが可能です。

brew install sevenzip

ハッシュチェックも自動実行されるなど、極めて安全性の高いインストール方法です。Macユーザーはブラウザでdmgファイルを探すより、Homebrewからのインストールを基本としたほうがよいかと思います。

Linuxの場合

Linuxにおいてはパッケージ管理ソフトからのインストールが基本となっていますので、なんら違和感なく浸透している方法です。それ以外の方法でインストールすることの方が稀でしょうから詳細は省きますが、Debina/Ubuntu系であればaptを使い下記コマンドでインストールが可能です。

sudo apt install p7zip-full

まとめ

今回の7-Zipに代表されるように、有志によって開発されたフリーソフトは、無料であるにも関わらず、非常に優れたものが多数あります。その多くはワークフローの効率化に欠かせないものであり、制作者に感謝しかありません。

そのフリーソフトがこのような形で悪用され、報じられ方によってはまるで7-Zipに何か問題があるかのように誤解されかねない状況に憤りを覚えます。先人たちが培ってきたフリーソフト文化への冒涜でもあります。

また今回の例とは異なりますが、WinRARのように超有名フリーソフトであるが故に、脆弱性を突かれて、まるでWinRAR自身がマルウェアのような扱いを受けることすらあります。実際、WinRARは現在ではインストールをおすすめしないフリーソフトとなってしまっています。（制作サイドは再案対応をしているにもかかわらずです）

フリーソフトの入手には一定のリスクが伴うことを自覚した上で、できるだけ安全と思われる方法で入手し、インストール時にもメッセージや選択肢を注意深く見ながら入れるようにしましょう。