2026年1月26日、Microsoftは緊急のアウトオブバンドパッチでOfficeの脆弱性CVE-2026-21509(CVSS 7.8)を修正した。しかし、そのわずか3日後の1月29日には、ロシアGRU傘下のAPT28(Fancy Bear)がこの脆弱性を武器化し、9カ国のNATO関連機関に対する標的型攻撃を開始していた。「Operation Neusploit」と名付けられたこのキャンペーンは、パッチ公開から適用までの時間的ギャップを突く「ワンデイ攻撃」の脅威を鮮明に示している。本稿では、CVE-2026-21509の技術的メカニズム、BeardShellおよびNotDoorという新型マルウェアの内部構造、そしてクラウドストレージを悪用したC2回避戦略を技術解析する。

CVE-2026-21509 ── OLE緩和策を無力化するRTF解析の欠陥

CVE-2026-21509は、Microsoft OfficeにおけるRTFファイルの不適切な検証に起因するセキュリティ機能バイパスの脆弱性である。Office 2016、Office 2019、Office LTSC 2021/2024、Microsoft 365 Apps for Enterpriseが影響を受ける。CWEとしてはCWE-807(信頼できない入力に基づくセキュリティ判断への依存)に分類される。

技術的には、攻撃者が細工したRTFドキュメントを開かせることで、Office本来のOLE(Object Linking and Embedding)緩和策をバイパスし、本来ブロックされるべきCOMオブジェクトをロードさせることが可能になる。重要なのは、この攻撃にマクロの有効化は不要であり、ユーザーに警告ダイアログも表示されない点である。ただしプレビューペインは攻撃ベクトルにはならず、ファイルの明示的な開封が必要となる。

Microsoftは1月26日にアウトオブバンドで緊急パッチ(KB5002713等)をリリースしたが、CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)が本脆弱性をKEV(Known Exploited Vulnerabilities)カタログに追加したのは2月に入ってからであり、連邦民間機関のパッチ適用期限は2月16日に設定された。この約3週間の空白期間がAPT28の攻撃機会となった。

Operation Neusploit ── 72時間のキャンペーン展開

Zscaler ThreatLabzおよびTrellixの報告によれば、APT28はパッチ公開後わずか48〜72時間でCVE-2026-21509のリバースエンジニアリングを完了し、攻撃コードの武器化に成功したとされる。攻撃の時系列は以下の通りである。

  • 1月26日:Microsoft緊急パッチ公開
  • 1月28日頃:フィッシングメール送信開始(推定)
  • 1月29日:最初の悪用が観測される
  • 〜2月4日:Trellixが報告を公開、キャンペーンは継続中

標的となった国は、ウクライナ、スロバキア、ルーマニア、ポーランド、スロベニア、トルコ、ギリシャ、UAE、ボリビアの9カ国に及ぶ。Trellixの分析によれば、標的の内訳は防衛省・軍事機関(40%)、輸送・海運機関(35%)、外交機関(25%)であった。CERT-UAは、ウクライナの中央行政機関において60以上のメールアドレスが標的になったと報告している。

フィッシングメールは、ルーマニア、ボリビア、ウクライナの侵害済み政府アカウントから送信され、ルーマニア語、スロバキア語、ウクライナ語、英語でソーシャルエンジニアリングの文面がカスタマイズされていた。この手法は、正規の政府メールアドレスからの送信により、メールフィルタリングを回避する狙いがあるとみられる。

マルウェアアーセナル ── BeardShell・NotDoor・PixyNetLoaderの技術構造

Operation Neusploitでは、複数のマルウェアファミリーが多段階の感染チェーンを構成している。

BeardShell:クラウドストレージC2バックドア

BeardShellはC++で実装されたバックドアインプラントで、2025年6月にSignal Messengerを経由した配布で初めて確認された。Operation Neusploitではより洗練されたバージョンが使用されている。主要な技術的特徴は以下の通りである。

  • 暗号化:ChaCha20-Poly1305認証暗号化によるC2通信
  • ファイル偽装:BMP、GIF、JPEG、PNG、TIFFのフェイクヘッダを付加し、画像ファイルに偽装
  • C2チャネル:Icedrive(主要)、Koofr、Filen.ioのクラウドストレージサービスを利用
  • 通信パターン:4時間間隔でC2ディレクトリをポーリングし、コマンドファイルを取得
  • ディレクトリ命名:被害端末のフィンガープリントのFNV4ハッシュを使用

BeardShellの通信フローは、攻撃者がクラウドストレージ上の被害者固有ディレクトリに暗号化コマンドファイルをアップロードし、マルウェアがそれを復号・実行した後、結果を暗号化して同ストレージにアップロードするという仕組みである。この方式は、正規のクラウドストレージトラフィックに紛れ込むため、従来のネットワーク監視での検知が極めて困難である。

NotDoor:Outlook VBAバックドア

NotDoorは2025年9月にLab52により初めて報告されたOutlook特化型のVBAバックドアである。名称はVBAソースコード内の「Nothing」キーワードに由来する。Operation Neusploitでは、簡略化されたバリアント「MiniDoor」が使用された。

  • 動作原理:OutlookのMAPILogonCompleteイベントとNewMailExイベントを監視
  • MiniDoorの機能:受信トレイ、迷惑メール、下書きフォルダからメールを窃取し、ハードコードされたアドレスに転送
  • 展開方法:Microsoft OneDrive.exeの正規署名バイナリを悪用したDLLサイドローディング
  • レジストリ操作:Outlookのセキュリティ設定を緩和するレジストリ変更を実行

PixyNetLoaderとCOVENANT Grunt

初期アクセス後のペイロード展開には、PixyNetLoaderと呼ばれる軽量DLLドロッパーが使用される。COMハイジャックおよびスケジュールタスクでの永続化を確立した後、偽のEhStorShell.dllをDLLプロキシングでロードする。特筆すべきは、PNG画像のLSB(最下位ビット)ステガノグラフィによりシェルコードを抽出し、オープンソースC2フレームワーク「COVENANT」のGruntインプラントをメモリ上にロードする点である。.NETアセンブリのCLRホスティングによるファイルレス実行が実現されている。

クラウドストレージC2 ── 正規トラフィックに紛れる検知回避戦略

Operation Neusploitの最も革新的な側面は、クラウドストレージサービスをC2インフラとして体系的に悪用している点である。Icedrive、Koofr、Filen.ioという3つのサービスが役割分担されている。

この手法が効果的な理由は複数ある。第一に、これらのサービスへのHTTPS通信は企業ネットワークで一般的であり、ホワイトリストに登録されていることが多い。第二に、通信内容自体がChaCha20-Poly1305で暗号化されているため、TLSインスペクションを実施しても悪意のあるペイロードを識別できない。第三に、ファイルヘッダの偽装により、DLP(Data Loss Prevention)ソリューションも画像ファイルの転送として処理してしまう。

従来のC2検知は、未知のIPアドレスやドメインへの不審な通信パターンに依存していた。しかし、正規のクラウドサービスへの通信は、レピュテーションベースのフィルタリングを容易に通過する。4時間間隔のポーリングは、一般的なクラウド同期クライアントの動作と区別がつかない。この手法は、ネットワーク防御の根本的な前提──「既知の悪性インフラへの通信を遮断する」──を無効化するものである。

防御側の対策としては、クラウドストレージAPIへのアクセスをCASB(Cloud Access Security Broker)で監視し、通常のビジネス利用パターンからの逸脱を検知する行動分析型アプローチが有効とされる。また、EDR(Endpoint Detection and Response)によるプロセス単位のネットワーク通信監視で、Officeプロセスからの異常なクラウドAPI呼び出しを検知することも推奨される。

ワンデイ攻撃の構造的脅威 ── 縮小するパッチ適用猶予期間

Operation Neusploitは、いわゆる「ワンデイ攻撃」(one-day attack)の典型例である。ゼロデイ攻撃が未知の脆弱性を悪用するのに対し、ワンデイ攻撃はパッチが公開された直後、組織がパッチを適用する前の時間的ギャップを突く。

VulnCheckの2026年レポートによれば、2025年に悪用が確認された脆弱性(KEV)のうち28.96%が、CVE公開日またはそれ以前に悪用されていた(2024年は23.6%)。脆弱性公開から悪用までの平均期間は、2020年の745日から2025年には44日へと急激に短縮している。約30%の悪用は24時間以内に発生しており、グローバル平均は5日まで縮小した。

この加速の背景には、パッチのdiff解析を自動化するツールの高度化がある。パッチが公開されると、セキュリティ修正の差分から脆弱性の根本原因を逆算することが可能になる。国家支援型アクターはこのプロセスに専門チームとリソースを投入しており、APT28がCVE-2026-21509を48〜72時間で武器化できた背景にはこうした組織的能力がある。

組織にとっての教訓は明確である。「パッチ火曜日まで待つ」という従来の運用では、もはや間に合わない。緊急パッチのリリースから24〜48時間以内の適用を目標とするパッチ管理プロセスの構築が不可欠であり、それが不可能な資産については、ネットワークセグメンテーションやアプリケーション制御による緩和策を即座に展開する体制が求められる。

FAQ

CVE-2026-21509はどのような脆弱性か?

Microsoft OfficeのRTFファイル解析における検証不備に起因するセキュリティ機能バイパスの脆弱性である。CVSS 7.8で、マクロ不要・警告なしでOLE緩和策を迂回し、COMオブジェクトの不正ロードを可能にする。

ワンデイ攻撃とゼロデイ攻撃の違いは何か?

ゼロデイ攻撃はベンダーが把握していない未知の脆弱性を悪用する。ワンデイ攻撃はパッチが公開済みだが組織が適用する前の時間的ギャップを突く手法である。パッチのdiff解析により脆弱性の根本原因が逆算可能になるため、攻撃のハードルはむしろ低い。

BeardShellのC2通信はなぜ検知が困難なのか?

BeardShellはIcedriveなどの正規クラウドストレージをC2として使用し、ChaCha20-Poly1305暗号化とファイルヘッダ偽装を組み合わせる。正規サービスへのHTTPS通信に偽装されるため、レピュテーションベースのフィルタリングやDLPでの検知が極めて困難である。

Operation Neusploitへの推奨対策は?

緊急パッチの48時間以内適用、CASB導入によるクラウドAPI異常検知、EDRでのプロセス単位通信監視、不審なRTFファイルの開封制限が推奨される。パッチ適用が遅れる場合は、RTF添付ファイルのブロックやOLEオブジェクト実行の制限といった暫定緩和策が有効である。

参考文献