ロシアAPT28がMSHTMLゼロデイを悪用——LNKファイルで政府機関を標的に
CVSS 8.8の深刻な脆弱性を突いたゼロデイ攻撃が、パッチ公開前から政府機関を直撃していた——ロシア軍情報総局(GRU)傘下のハッカー集団APT28(別名Fancy Bear)が、WindowsのMSHTMLエンジンに存在するゼロデイ脆弱性CVE-2026-21513を悪用し、欧米を中心とした政府・軍事組織に対する標的型攻撃を展開していたことがMicrosoft Threat Intelligenceの調査で明らかになりました。
攻撃は2026年2月のPatch Tuesday(月例セキュリティ更新)でパッチが提供される以前から行われており、APT28が独自にゼロデイエクスプロイトを開発・運用していたことを示しています。国家支援型サイバー攻撃の脅威が依然として高水準にあることを改めて示す事例です。
CVE-2026-21513とは何か
CVE-2026-21513は、WindowsのMSHTML(Trident)エンジンに存在するリモートコード実行の脆弱性です。MSHTMLはInternet Explorerのレンダリングエンジンとして開発されたコンポーネントですが、IEのサポート終了後もWindowsのさまざまな場所で内部的に使用され続けています。
**CVSSスコアは8.8(高)**と評価されており、攻撃者はこの脆弱性を利用してMark-of-the-Web(MotW)セキュリティ機能を迂回し、ユーザーのシステム上で任意のコードを実行できます。
技術的な仕組み
攻撃の流れは以下の通りです。
- LNKファイルの配布: 攻撃者がスピアフィッシングメールに悪意のある.lnkファイル(Windowsショートカット)を添付して標的に送信
- MSHTMLの呼び出し: ユーザーがLNKファイルをクリックすると、内部的にMSHTMLコンポーネントが起動し、攻撃者が用意した特殊なHTMLコンテンツを処理
- メモリ破壊: MSHTMLエンジン内でメモリ破壊が発生し、Mark-of-the-Webによるセキュリティ警告がバイパスされる
- コード実行: セキュリティ制御が無効化された状態で任意のコードが実行され、攻撃者のC2(Command & Control)サーバーへの接続が確立
以下の図は、LNKファイルからリモートコード実行に至る攻撃チェーンの全体像を示しています。
特に危険なのは、LNKファイルが一見すると無害なドキュメントやPDFのショートカットに偽装されている点です。Windowsのデフォルト設定ではファイル拡張子が表示されないため、ユーザーが通常のファイルと区別するのは極めて困難です。
APT28(Fancy Bear)とは
APT28は、ロシア連邦軍参謀本部情報総局(GRU)の第26165部隊に紐づくとされる国家支援型ハッカーグループです。「Fancy Bear」「Sofacy」「Strontium」「Forest Blizzard」など多数の別名を持ち、2004年頃から活動が確認されています。
過去の主要な攻撃キャンペーン
APT28は20年以上にわたり、世界40カ国以上の政府・軍事・政治組織を標的にしてきました。以下の図は、主要なキャンペーンのタイムラインです。
それぞれのキャンペーンを振り返ります。
- 2014年 ドイツ連邦議会攻撃: ドイツ議会のネットワークに侵入し、16GB以上のデータを窃取。議会のIT基盤の全面刷新を余儀なくされた
- 2016年 米国DNCハック: 民主党全国委員会に侵入し、大量のメールを窃取・公開。米大統領選挙への介入として国際問題に発展
- 2018年 WADA・OPCW攻撃: 世界反ドーピング機関と化学兵器禁止機関を標的に。ロシアの国家的ドーピング問題やノビチョク事件との関連が指摘された
- 2020年 SolarWinds関連: サプライチェーン攻撃に関与し、米国の複数政府機関を広範に侵害
ロシア系APTグループの比較
APT28を含むロシアの国家支援型グループは、それぞれ異なる任務を持っています。
| グループ名 | 所属機関 | 主な標的 | 代表的な攻撃 |
|---|---|---|---|
| APT28(Fancy Bear) | GRU 第26165部隊 | 政府・軍事・政治 | DNCハック、MSHTMLゼロデイ |
| APT29(Cozy Bear) | SVR(対外情報庁) | 外交・情報機関 | SolarWinds攻撃 |
| Sandworm | GRU 第74455部隊 | 重要インフラ | NotPetya、ウクライナ停電 |
| Gamaredon | FSB(連邦保安庁) | ウクライナ | 継続的なウクライナ標的型攻撃 |
今回の攻撃の影響範囲
Microsoft Threat Intelligenceによると、CVE-2026-21513を悪用した攻撃は以下の組織・地域で確認されています。
- 欧州の政府機関: 複数のEU加盟国の省庁レベルの組織
- NATO加盟国の軍事機関: 軍の通信ネットワークを標的
- 防衛産業: 兵器メーカー・軍需企業の従業員
- 安全保障系シンクタンク: 外交・安全保障に関する政策研究機関
攻撃のタイミングが2026年2月のPatch Tuesday以前から始まっていたことは、APT28がMicrosoftの脆弱性を独自に発見し、パッチが公開される前にエクスプロイトを開発・展開できるだけの技術力とリソースを持っていることを示しています。
MSHTMLが狙われ続ける理由
Internet Explorerは2022年にサポートが終了しましたが、MSHTMLエンジン自体はWindows 10/11に依然として組み込まれており、多くのアプリケーションが内部的に利用しています。
- Outlookのメールレンダリング: HTMLメールの表示にMSHTMLが使用される場面がある
- OfficeドキュメントのOLEオブジェクト: WordやExcelに埋め込まれたコンテンツの処理
- サードパーティアプリケーション: 古いアプリケーションがWebビューにMSHTMLを使用
- LNKファイルのアイコン処理: ショートカットファイルのプレビュー生成時にMSHTMLが呼ばれるケースがある
過去にもCVE-2024-43451やCVE-2024-38112など、MSHTMLの脆弱性がゼロデイとして悪用される事例が繰り返されています。レガシーコンポーネントが攻撃対象として定着している状況です。
| CVE | 年 | CVSS | 悪用グループ | 手法 |
|---|---|---|---|---|
| CVE-2024-43451 | 2024 | 6.5 | 不明 | NTLMハッシュ窃取 |
| CVE-2024-38112 | 2024 | 7.5 | Void Banshee | URLファイル経由 |
| CVE-2025-xxxxx | 2025 | 7.8 | 複数グループ | Officeドキュメント経由 |
| CVE-2026-21513 | 2026 | 8.8 | APT28 | LNKファイル経由 |
防御策——今すぐ実施すべき対策
即座に実施すべきアクション
- 2026年2月のセキュリティ更新を確認・適用: CVE-2026-21513のパッチが含まれています。WSUS・Intuneなどのパッチ管理ツールで未適用端末がないか確認
- LNKファイルのメール添付をブロック: メールゲートウェイで.lnkファイルの受信をブロックするルールを追加。ZIPアーカイブ内のLNKも検査対象に
- Attack Surface Reduction(ASR)ルールの有効化: Microsoft Defenderの「子プロセスの起動をブロック」ルールでMSHTMLの悪用を軽減
- Mark-of-the-Web設定の確認: グループポリシーでMotW設定が無効化されていないか確認
中長期的な対策
- メール認証の強化: SPF、DKIM、DMARCを適切に設定し、なりすましメールの到達を防止。パスワード管理に1Passwordなどの専用ツールを導入し、フィッシングによる認証情報漏洩リスクを低減
- ネットワークセグメンテーション: 重要システムを分離し、侵害が発生しても横展開を抑制
- EDR/XDRの導入・強化: エンドポイントでの異常な振る舞い(MSHTMLの予期しない起動など)を検知
- VPN利用の徹底: リモートワーク環境ではNordVPNなどの信頼性の高いVPNで通信を保護し、中間者攻撃のリスクを低減
- ゼロトラストアーキテクチャの推進: 「信頼しない、常に検証する」原則に基づくアクセス制御を実装
日本への影響と対応
日本においても、APT28の脅威は決して対岸の火事ではありません。
日本が標的になるリスク
日本はNATOのパートナー国であり、ウクライナ支援を含む対ロシア制裁に参加しています。これにより、ロシア系サイバー攻撃グループの報復対象となる可能性が高まっています。
実際に2023〜2024年にかけて、日本の政府機関や防衛関連企業を標的としたAPT攻撃が複数報告されています。NISC(内閣サイバーセキュリティセンター)やJPCERT/CCも、ロシア系APTグループへの警戒を繰り返し呼びかけています。
日本の組織が取るべき対策
- IPAやJPCERT/CCの注意喚起を定期的に確認: 国内向けの具体的な対策指針が公開される
- MSHTMLコンポーネントの利用状況を棚卸し: 社内アプリケーションがMSHTMLに依存していないか確認し、代替手段を検討
- メール添付ファイルのサンドボックス検査: .lnk、.url、.scfなどのWindows固有ファイルを重点的に検査
- サイバーセキュリティ保険の検討: 国家支援型攻撃による被害は甚大になるため、保険によるリスク移転も有効
日本の防衛体制の現状
日本政府は2022年に「能動的サイバー防御」の導入を掲げ、サイバーセキュリティ体制の強化を進めています。しかし、APT28のような高度な国家支援型グループに対抗するには、リアルタイムの脅威インテリジェンス共有や、Five Eyes諸国との協力強化が不可欠です。
まとめ——国家支援型攻撃への備え
APT28によるCVE-2026-21513の悪用は、国家支援型サイバー攻撃がゼロデイ脆弱性を武器として積極的に活用している現実を改めて突きつけました。MSHTMLのようなレガシーコンポーネントが攻撃の入口であり続ける限り、この種の攻撃は今後も繰り返されるでしょう。
組織として今すぐ実施すべきアクションステップは以下の3つです。
- パッチ適用状況を緊急確認: 2026年2月のPatch TuesdayでCVE-2026-21513の修正が含まれています。未適用のWindows端末がないか全数確認し、即座に適用してください
- メールセキュリティを強化: .lnkファイルの添付ブロック、サンドボックス検査の導入、従業員へのフィッシング教育を並行して実施。1Passwordでパスワード管理を一元化し、認証情報の漏洩リスクを最小化しましょう
- 脅威インテリジェンスの活用: Microsoft Threat Intelligence、CISAのアドバイザリ、JPCERT/CCの注意喚起を定期的に監視し、APT28の新たなTTP(戦術・技術・手順)に即座に対応できる体制を構築しましょう
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星