2026年1月26日、マイクロソフトは、その週の定例パッチ公開直後にもかかわらず、緊急の帯域外アップデートを異例の速さでリリースしました。この緊急対応は、Microsoft Office製品に存在する深刻なゼロデイ脆弱性「CVE-2026-21509」が、すでにサイバー攻撃に悪用されている事実が確認されたためです。この脆弱性は、CVSS v3.1スコアで7.8という高い評価を受け、その危険性が浮き彫りになりました。
この脅威の背後には、ロシアと関連が深いとされる著名なハッキンググループ「Fancy Bear」(APT28)の影が見え隠れしています。ウクライナの国家サイバー脅威インテリジェンス機関であるCERT-UA(Computer Emergency Response Team of Ukraine)は、2月2日にこの脆弱性を悪用したサイバー攻撃がウクライナおよびEUの組織に対して行われていると警告を発しました。攻撃は、マイクロソフトが脆弱性を公開する前から水面下で進行していたことが判明し、その巧妙さと迅速な対応の必要性を改めて示しています。
CISA(Cybersecurity and Infrastructure Security Agency)もこの脆弱性の深刻度を認識し、直ちに「既知の悪用された脆弱性(KEV)カタログ」に追加しました。これにより、米国の連邦政府機関は2026年2月16日までにこのパッチを適用することが義務付けられ、その緊急性が国家レベルで認識されていることが明らかになりました。この動きは、単一のソフトウェアの欠陥が、いかに広範なセキュリティリスクを引き起こし得るかを示す典型的な事例と言えるでしょう。
この一連の動きは、現代のサイバー脅威が単なる技術的な問題に留まらず、地政学的な緊張と密接に結びついている現実を浮き彫りにしています。Fancy Bearのような国家支援型アクターが、新たに発見された脆弱性を即座に攻撃に転用する能力は、防御側にとって常に先手を打つことの難しさを物語っています。
巧妙な脆弱性「CVE-2026-21509」の深層
CVE-2026-21509は、Microsoft Officeがセキュリティ上の判断において信頼できない入力を過度に依存していることに起因する「セキュリティ機能バイパス」の脆弱性(CWE-807)として分類されています。この欠陥を悪用することで、攻撃者はMicrosoft 365およびMicrosoft Officeに組み込まれたOLE(Object Linking and Embedding)の緩和策を迂回し、脆弱なCOM(Component Object Model)およびOLEコントロールを悪用することが可能となります。これにより、ユーザーは意図しないコード実行のリスクに晒されることになります。
この脆弱性の攻撃ベクトルは「ローカル」であり、標的となるユーザーが特別に細工されたOfficeファイルを開くという「ユーザーインタラクション」を必要とします。通常、このような悪意のあるドキュメントは、フィッシングやスピアフィッシングキャンペーンを通じて配布されます。Rescanaの分析によれば、攻撃の複雑性は低いとされており、一度悪用が成功すれば、機密性、完全性、可用性の全てに高い影響を与える可能性があります。ただし、Officeのプレビューペインはこの脆弱性の攻撃ベクトルではないため、ファイルを開くという明示的な操作が不可欠です。
影響を受ける製品は多岐にわたり、Microsoft Office 2016(x86/x64)、Microsoft Office 2019(x86/x64)、Microsoft Office LTSC 2021(x86/x64)、Microsoft Office LTSC 2024(x86/x64)、そしてMicrosoft 365 Apps for Enterprise(x86/x64)が含まれます。これらのバージョンは企業や政府機関で広く利用されているため、攻撃対象となる可能性のあるシステムは膨大であり、広範な攻撃対象領域が存在すると言えます。
マイクロソフトは、この脆弱性がすでに「in the wild」、つまり実際の攻撃で悪用されていることをセキュリティアドバイザリで確認しています。現時点では、この脆弱性に対する公開された概念実証(PoC)コードは存在しないとされていますが、これは攻撃が高度な持続的脅威(APT)アクターによって、特定の標的に対して秘密裏に行われている可能性を示唆しています。
ファンシーベア(APT28)の標的と初期侵入の手口
今回のサイバー攻撃において、ロシアと関連が深いとされるハッキンググループ「Fancy Bear」(APT28)が中心的な役割を担っていたことが、ウクライナのCERT-UAの報告によって明確にされています。彼らの標的は、ウクライナの政府機関およびEU加盟国の組織に集中しており、地政学的な動機が強く示唆されています。特に、ウクライナの中央行政機関が主要なターゲットとされ、そのインフラや情報システムへのアクセスを狙ったものと見られています。
初期侵入の手口は、巧妙に偽装されたMicrosoft Word文書を用いたスピアフィッシングキャンペーンでした。CERT-UAが1月29日に発見した「Consultation_Topics_Ukraine(Final).doc」というWordファイルは、EUの常駐代表委員会(COREPER)によるウクライナ情勢に関する協議に関連していると見せかけていました。このファイルのメタデータは、マイクロソフトが脆弱性を公開した翌日の1月27日午前に作成されたことを示しており、攻撃者がゼロデイ情報をいかに迅速に悪用したかを物語っています。
さらに、CERT-UAは同日、ウクライナ水文気象センター(UkrHMC)を装ったメールが、ウクライナの中央行政機関の60を超えるアドレスに送信されたことをパートナーからの報告で把握しました。このメールには「BULLETEN_H.doc」という別の悪意のある添付ファイルが含まれており、標的となった組織の広範なネットワークへの侵入を試みていたことが伺えます。このような偽装は、受信者が疑いなくファイルを開封するよう誘導するための典型的なソーシャルエンジニアリングの手法です。
これらの悪意あるドキュメントは、ユーザーがファイルを開くと、WebDAVプロトコルを介して外部リソースへのネットワーク接続をトリガーするように設計されていました。この初期接続が、その後の複雑な攻撃チェーンの出発点となります。攻撃者は、標的のシステムに足がかりを築くために、常に最新の脆弱性と巧妙なソーシャルエンジニアリングを組み合わせることで、防御側の警戒をすり抜けてきました。
複雑な攻撃チェーン:COMハイジャックからC2確立まで
CERT-UAの詳細な分析により、Fancy Bearが用いたCVE-2026-21509の悪用チェーンの全貌が明らかになりました。標的がマルウェアが仕込まれたWord文書を開くと、まずWebDAVプロトコルを通じて外部の悪性リソースに接続が試みられます。この接続により、ショートカットファイル(LNK)に偽装された悪意のあるコードがダウンロードされ、これがさらなるペイロードのダウンロードと実行を促す役割を果たします。この段階で、攻撃者はシステムへの初期アクセスを確立し、次の段階へと移行します。
ペイロードの実行に成功すると、複数の悪意のあるアクションが連鎖的に発生します。まず、「Enhanced Storage Shell Extension」ライブラリを装ったDLLファイル「EhStoreShell.dll」が作成されます。同時に、シェルコードを含む画像ファイル「SplashScreen.png」も生成されます。これらのファイルは、正規のシステムコンポーネントやデータに見せかけることで、検出を回避しようとする攻撃者の意図を反映しています。
攻撃の核心は、COM(Component Object Model)ハイジャックという高度な技術にあります。具体的には、CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}のレジストリパスが変更されます。これにより、システムが特定のCOMオブジェクトを呼び出す際に、正規のコンポーネントではなく、攻撃者が作成した悪意のあるEhStoreShell.dllがロードされるよう仕向けられます。この手法は、システムの起動プロセスやアプリケーションの動作に深く介入し、永続的なアクセスを確保するために用いられます。
さらに、攻撃者は「OneDriveHealth」という名前のスケジュールされたタスクを作成します。これらのタスクが実行されると、explorer.exeプロセスが一度終了し、その後再起動されます。この再起動の際に、COMハイジャックによってEhStoreShell.dllがロードされ、このDLLがSplashScreen.png内のシェルコードを実行します。最終的に、侵害されたシステム上で「Covenant」フレームワークが起動されます。Covenantは、攻撃的なサイバーセキュリティやレッドチーム演習のために設計された.NETベースのコマンド&コントロール(C2)フレームワークであり、攻撃者はこれを通じてシステムを遠隔操作し、さらなる活動を展開します。CERT-UAは、Covenantが正規のクラウドストレージサービスであるFilenをC2インフラとして利用していることを指摘し、Fancy Bearの標的となる可能性のある組織に対し、Filenとのネットワーク通信をブロックまたは厳密に監視するよう促しています。
繰り返されるOfficeゼロデイの脅威とAPTの影
Microsoft Office製品は、その普及率の高さとビジネスにおける不可欠性から、長年にわたり高度な持続的脅威(APT)グループにとって魅力的な標的であり続けています。SOC Primeの報告によれば、昨年だけで41件のゼロデイ脆弱性が特定され、そのうち24件が実際に攻撃に悪用されたとTenableが指摘しています。この傾向は2026年に入っても変わらず、WindowsオペレーティングシステムとOfficeコンポーネントが引き続き主要な攻撃ベクトルとなっています。今回のCVE-2026-21509の事例は、この継続的な脅威の現実を改めて浮き彫りにしました。
Rescanaの分析では、今回の攻撃手法は、過去にAPT28(Fancy Bear)やAPT29(Cozy Bear)といった国家支援型アクターがMicrosoft Officeの脆弱性を悪用して、政府機関、重要インフラ、防衛産業、大企業などの高価値な標的に初期アクセスを獲得してきた手口と高い整合性を示しています。これらのグループは、新たな脆弱性が発見されると、その情報を迅速に攻撃に組み込む能力に長けており、その活動は常に高度な技術と戦略に裏打ちされています。
現時点では、マイクロソフトや一部の第三者研究機関からは、今回の攻撃に関する具体的な侵害指標(IOCs)、例えばファイルハッシュやコマンド&コントロール(C2)インフラの情報は公開されていません。これは、進行中の調査の性質や、関与している脅威アクターの洗練度によるものと考えられます。しかし、IOCが不足している状況でも、CERT-UAやInfosecurity Magazineの報道がFancy Bearの関与を明確に指摘している点は注目に値します。
このような状況は、標的型攻撃の検出と防御がいかに困難であるかを示しています。APTグループは、検出を回避するために常に手法を進化させ、正規のサービスやシステム機能を悪用することで、その活動を隠蔽しようとします。特に、政府機関、重要インフラ、防衛関連企業、そして大規模なエンタープライズ組織は、常に高いリスクに晒されており、最新の脅威インテリジェンスに基づいた防御策の優先順位付けが不可欠です。
緊急対応と組織に求められる防御策
CVE-2026-21509の深刻な脅威に対し、マイクロソフトは迅速な対応を見せました。Microsoft Office LTSC 2021、Office LTSC 2024、およびMicrosoft 365 Apps for Enterpriseのユーザー向けには、サービス側の修正がリリースされており、ユーザーはOfficeアプリケーションを再起動するだけで保護が適用されます。しかし、Microsoft Office 2016およびMicrosoft Office 2019のユーザーに対しては、セキュリティアップデートが保留中であるため、暫定的なレジストリベースの緩和策が推奨されています。
このレジストリ緩和策は、Office 2016および2019のユーザーが脆弱なCOMオブジェクトをブロックするために実施すべき具体的な手順を含んでいます。まず、全てのOfficeアプリケーションを閉じ、Windowsレジストリのバックアップを取った上で、レジストリエディター(regedit.exe)を開きます。そして、64ビット版Officeまたは32ビット版Windows上の32ビット版Officeの場合は「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\」へ、64ビット版Windows上の32ビット版Officeの場合は「HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\」へ移動します。
このパスの下に、新しいキーとして「{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}」を作成し、その中に新しいDWORD(32ビット)値「Compatibility Flags」を作成し、値を「0x400」(16進数)に設定します。これらの変更を適用した後、全てのOfficeアプリケーションを再起動することで、緩和策が有効になります。この手動での設定は、パッチが提供されるまでの間、組織のシステムを保護するための重要な手段となります。
さらに、CISAは米国の連邦政府機関に対し、2026年2月16日までにこの脆弱性に対するパッチを適用するよう義務付けており、その緊急性が改めて強調されています。組織は、Microsoft Defenderの検出シグネチャを常に最新の状態に保ち、Officeの保護ビューを有効にしてインターネットから取得したファイルをブロックするよう徹底すべきです。また、未知の送信元からのメールに添付されたOfficeドキュメントの異常な活動を監視し、エンドポイントおよびネットワークのログを詳細にレビューすることで、侵害の兆候を早期に発見する体制を強化することが求められます。特に、Covenantフレームワークが利用するFilenのような正規のクラウドストレージサービスとのネットワーク通信は、厳密な監視対象とすべきでしょう。
国境を越えるサイバー戦の現実
今回のFancy Bear(APT28)によるMicrosoft Officeのゼロデイ脆弱性悪用は、現代のサイバー空間における地政学的な対立が、いかに技術的な戦術と密接に結びついているかを如実に示しています。ウクライナとEUの組織が標的となった事実は、サイバー攻撃が単なる犯罪行為に留まらず、国家間の情報戦や影響力行使の手段として常態化している現実を浮き彫りにしています。CERT-UAのような国家レベルのサイバーセキュリティ機関が、最前線でこれらの脅威と対峙し、詳細な分析を共有することの重要性は計り知れません。
攻撃者がマイクロソフトの脆弱性公開直後、あるいはそれ以前から情報を入手し、迅速に攻撃ツールを開発・展開する能力は、防御側にとって常に大きな課題を突きつけます。特に、今回の事例のように、正規のドキュメントやサービスを偽装し、ユーザーの日常的な操作を悪用する手口は、従来の境界防御だけでは防ぎきれない複雑な脅威環境を形成しています。組織は、技術的な防御策だけでなく、従業員のセキュリティ意識向上や、脅威インテリジェンスの継続的な収集と分析を通じて、多層的な防御戦略を構築する必要があります。
サイバー攻撃の進化は止まることを知らず、国家支援型アクターは常に新たな脆弱性を探し、それを悪用する機会をうかがっています。Microsoft Officeのような広く普及したソフトウェアが狙われるのは、その影響範囲の広さから、攻撃者にとって費用対効果が高いからです。この絶え間ない脅威のサイクルに対抗するためには、個々の組織の努力だけでなく、国家間、そして官民の連携による情報共有と共同防御の枠組みが不可欠です。
今回の事件は、サイバーセキュリティがもはやIT部門だけの問題ではなく、組織全体の事業継続性、国家安全保障、そして国際関係に直結する戦略的な課題であることを改めて私たちに認識させます。Fancy Bearの活動は、デジタル世界における国境の曖昧さと、それがもたらす新たな紛争の形を象徴していると言えるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Fancy Bear Exploits Microsoft Office Flaw in Ukraine, EU Cyber-Attacks - https://www.infosecurity-magazine.com/news/fancy-bear-exploits-office-flaw/
- -Microsoft Office CVE-2026-21509 Zero-Day: Emergency Patch Released to Counter Active Exploitation - https://www.rescana.com/post/microsoft-office-cve-2026-21509-zero-day-emergency-patch-released-to-counter-active-exploitation
- -CVE-2026-21509: Actively Exploited Microsoft Office Zero-Day Forces Emergency Patch | SOC Prime Platform - https://socprime.com/blog/latest-threats/cve-2026-21509-vulnerability/