老舗の圧縮・解凍ソフト「Lhaz」「Lhaz+」にパストラバーサルの脆弱性、修正版が公開

原始發表日期：2026-05-12

日本資訊科技媒體《窓の杜》發布了一則資安警訊：深受日本使用者喜愛、歷史悠久的老牌免費壓縮與解壓縮軟體「Lhaz」及「Lhaz+」，被發現存在嚴重的「路徑穿越（Path Traversal）」安全漏洞，開發者已緊急發布修正版。這則看似探討軟體更新、程式 Bug 與日常電腦工具的新聞，在企業資訊長（CIO）與資安風險管理專家眼中，卻是一場極度寫實的「技術債（Technical Debt）引爆」與「影子 IT（Shadow IT）尾部風險（Tail Risk）」的宏觀資本實證。它深刻揭露了在面臨全球駭客無差別攻擊、勒索軟體橫行的宏觀環境下，企業與公務機關為了節省微小的軟體授權費，長期縱容員工使用老舊且缺乏商業維護的免費軟體，最終導致整個企業的數位防線面臨被瞬間擊穿的毀滅性財務災難。

產業現況

在企業資訊安全的財務模型與合規成本（Compliance Cost）矩陣中，這是一個極度凸顯「免費的最貴」與「資安隱形負債」的脆弱板塊。從產業現況來看，許多日本中小企業與地方政府，為了壓低 IT 基礎設施的「營運支出（OpEx）」，長年習慣依賴這類個人開發者維護的免費工具（Freeware）。在商業與風險邏輯上，這類老牌壓縮軟體爆出嚴重漏洞，是一次教科書級別的「系統性資產暴露」。對於駭客而言，「路徑穿越」漏洞允許他們在解壓縮惡意檔案時，將病毒植入系統的核心深處。一旦企業員工不慎使用該軟體解開了一封釣魚郵件的附件，駭客就能輕易繞過耗資數百萬美元建置的防火牆，直接癱瘓企業 ERP 或竊取商業機密。為了節省幾千日圓的商業壓縮軟體授權費，企業將承受高達數億日圓的營運中斷損失與商譽賠償，這種「風險報酬不對稱」，是企業治理中最致命的死角。

總經分析

從總體經濟的「數位基礎設施折舊」與「經濟安保（Economic Security）」視角觀察，老牌軟體的資安危機，是日本總體經濟在歷經多年 IT 投資停滯（IT 預算多用於維護舊系統而非創新）後，技術基礎底層嚴重老化的微觀縮影。宏觀來看，日本社會充斥著大量這類「加拉巴哥化（Galapagosization）」的本土舊軟體，它們難以適應現代複雜的網路威脅。在總經層面，這證明了在一個高度數位化的經濟體系中，維護資訊安全的成本已經呈現指數級的「防禦性通膨」。國家與企業如果不能強制作廢這些缺乏安全保障的遺留系統（Legacy System），並轉向具備企業級服務等級協議（SLA）的付費 SaaS 平台，整個宏觀經濟的供應鏈韌性將猶如建立在沙地上，隨時可能因一個簡單的解壓縮動作而全面崩盤。

未來展望

預期在頻繁的資安事件與政府法規趨嚴的推力下，企業將加速對內部員工電腦軟體進行強制盤點，全面禁用缺乏維護的免費軟體（Freeware Ban）。在資本市場中，外資法人將嚴厲檢視企業在「資安資本支出（Cybersecurity CapEx）」的投入比例。能夠提供一站式、具備高安全性且能取代大量老舊免費工具的企業級 SaaS 解決方案供應商，將迎來一波因合規剛需而引爆的龐大商機。

財經小辭典

• 路徑穿越 (Path Traversal)：一種可怕的軟體漏洞。正常情況下，解壓縮檔案只能把檔案放在你指定的資料夾裡；但駭客會刻意製造一個帶有這個漏洞的壓縮檔，當你一解壓縮，病毒就會「穿越」資料夾的限制，直接跑到你電腦系統最核心、最不該被碰觸的地方躲起來，準備竊取資料或勒索。
• 技術債 (Technical Debt)：企業為了省錢或趕時間，選擇使用老舊、便宜、或架構不佳的軟體與系統。這就像跟地下錢莊借錢一樣，短期看似省了麻煩，但未來系統出現漏洞、被駭客攻擊、或是需要升級時，企業將被迫付出比當初買好軟體多出數十倍的慘痛代價來收拾殘局。