APT28がWindowsゼロデイを先手で悪用——パッチ適用前の攻撃を詳細分析
ロシア政府との関連が指摘される脅威アクターAPT28(別名:Fancy Bear、Forest Blizzard)が、Microsoftの2026年2月定例パッチ(Patch Tuesday)でようやく修正されたWindowsの深刻なゼロデイ脆弱性CVE-2026-21513を、パッチ公開より前から悪用していたことが明らかになった。クラウドセキュリティ大手のAkamaiが技術的な詳細分析を公開している。
脆弱性の概要
CVE-2026-21513は、WindowsのHTMLレンダリングエンジンであるMSHTML(別名:Trident)に存在する脆弱性で、CVSSスコアは**8.8(High)**と評価されている。MSHTMLはInternet Explorerや旧来のレンダリングコンポーネントとして今もWindowsに組み込まれており、Microsoft Officeのドキュメントプレビューやレガシーアプリケーションで広く使われているため、攻撃対象面が広い点が問題視されている。
攻撃チェーンの手口
Akamaiの分析によれば、APT28は細工されたLNK(Windowsショートカット)ファイルにHTMLコンテンツを埋め込むという手法を採用している。ユーザーがこのLNKファイルを開くと、内部に仕込まれたHTMLがMSHTMLエンジンによって処理され、ShellExecuteExW APIを通じて任意のコードが実行される仕組みだ。
この攻撃手法のポイントは次の通りだ:
- LNKファイルへの偽装:一見、正規のショートカットに見えるため、ユーザーが疑いを持ちにくい
- MSHTMLの悪用:Officeドキュメント表示やWebコンテンツ処理時に自動的にトリガーされる可能性がある
- ShellExecuteExWの呼び出し:Windowsシェルの正規APIを経由するため、単純なシグネチャベースの検知をかいくぐりやすい
APT28とは
APT28はロシア軍参謀本部情報総局(GRU)の第85特別任務センター(GTsSS)と結びついているとされ、欧米の政府機関・防衛関連組織・エネルギーインフラなどを標的にした高度な標的型攻撃(APT)を長年にわたって展開してきたグループだ。近年はウクライナ周辺の政府機関やNATO加盟国への攻撃が増加しており、日本の防衛・官公庁組織も潜在的な標的になりうると専門家は警告している。
対応策
Microsoftは2026年2月のPatch Tuesdayにおいて本脆弱性への修正パッチをリリース済みだ。まだ適用していない場合は早急なWindows Updateの実施が最優先となる。また、以下の緩和策も有効とされている:
- 不審なLNKファイルの開封を避ける(特にメール添付・外部共有)
- EDR(エンドポイント検知・対応)ソリューションの最新シグネチャへの更新
- レガシーなMSHTMLコンポーネントの利用状況の棚卸しと制限
ゼロデイ脆弱性がパッチ公開前に国家支援の攻撃グループに悪用されるケースが相次いでいる。定例パッチへの依存だけでなく、脅威インテリジェンスの継続的な監視と多層防御の強化が改めて求められる。
元記事: APT28 Tied to CVE-2026-21513 MSHTML 0-Day Exploited Before Feb 2026 Patch Tuesday