Microsoft Office の脆弱性 CVE-2026-21509:ロシア由来の APT による積極的な悪用を観測

Hackers Exploiting Microsoft Office 0-day Vulnerability to Deploy Malware

2026/02/02 CyberSecurityNews — ロシア由来の脅威グループ APT28 (UAC-0001) が、Microsoft Office に存在する深刻なゼロデイ脆弱性を積極的に悪用している。この欠陥を突く APT28 は、ウクライナ政府機関および欧州連合 (EU) 組織に対して、高度なマルウェアを展開している。この脆弱性 CVE-2026-21509 は、Microsoft により 2026年1月26日に開示されたが、その時点で実環境で悪用されているとの警告が発せられた。Microsoft の公開開示から 24時間も経たないうちに、この脆弱性は脅威アクターにより武器化されていた。

公開直後の迅速な悪用

2026年1月27日にセキュリティ研究者たちが発見したのは、”Consultation_Topics_Ukraine (Final).doc” と題された悪意の DOC ファイルである。この文書には、CVE-2026-21509 のエクスプロイトが組み込まれていた。

chain of damage ( source :CERT-UA )
chain of damage ( source : CERT-UA )

この文書のテーマは、ウクライナに関する EU 常駐代表委員会 (COREPER) による協議であり、地政学的に関連するソーシャル・エンジニアリング手法を、攻撃者が用いていることを示している。

2026年1月29日にウクライナ Computer Emergency Response Team (CERT-UA) は、Ukrhydrometeorological Center からの気象速報を装いながら悪意の文書を配布する、大規模なフィッシング・キャンペーンを検知した。

このキャンペーンは 60 件超のメール・アドレスを標的としており、その大半はウクライナ中央行政府機関に属していた。

攻撃チェーンと技術的詳細

この武器化された文書を、被害者が Microsoft Office で開くとエクスプロイトが発動し、WebDAV プロトコルを通じて攻撃者のインフラへのネットワーク接続が確立される。

the content of documents with the exploit ( source :CERT-UA )
The content of documents with the exploit ( source :CERT-UA )

このマルウェアは、実行が可能なコードを取り込んだショートカット・ファイルをダウンロードし、”EhStoreShell.dll” とシェルコードを含む “SplashScreen.png” などの悪意のコンポーネントを展開する。

この攻撃は、Windows レジストリの改変による COM ハイジャック技法を悪用し、永続化のために “OneDriveHealth” という名称のスケジュールド・タスクを作成する。

最終的なペイロードは、高度なポスト・エクスプロイト・フレームワーク COVENANT である。このフレームワークは、正規の Filen Cloud ストレージ (filen.io) を、C2 (Command and Control) 通信に悪用する。

この手法により、正規のクラウド・サービス・トラフィックに悪意の通信を紛れ込ませ、検知を回避することが可能となる。2026年1月下旬には、EU 諸国を標的とする新たな悪意の文書も発見されている。

ある事例では、攻撃インフラ用のドメイン名が、攻撃の当日に登録されており、高度な即応オペレーション能力が示されている。

ユーザーの Microsoft Office 環境において、パッチ適用サイクルの遅延などが発生すると、悪用試行が増加する可能性が高くなると、CERT-UA のセキュリティ専門家たちは警告している。

Office 2016/2019 を使用するユーザー組織にとって必要なことは、速やかなアップデートである。その一方で、Microsoft が推奨するレジストリ・ベースの緩和策を直ちに実装し、Filen Cloud ストレージ・インフラへのネットワーク接続を監視し、特定された侵害指標をブロックすべきである。

特に地政学的または行政的テーマを含む、予期しない Office 文書を開く際には、最大限の注意を払う必要がある。

この問題の原因は、Microsoft Office が外部サーバと通信を行う際の仕組みに、本来は許可すべきではない不適切な動作が含まれていたことにあります。この脆弱性 CVE-2026-21509 を悪用する攻撃者が細工した文書ファイルを、標的とされるユーザーが開くだけで、そのコンピュータが攻撃者のサーバへ接続され、悪意のプログラムを読み込むという状態になっていました。さらに攻撃者は、公的な文書を装うことで、心理的な隙も巧妙に利用しています。こうした、自動的な外部接続というプログラムの振る舞いと、人の注意力を巧みに操る手口が組み合わさることで、被害が急速に広がってしまいました。ご利用のチームは、ご注意ください。よろしければ、2026/01/26 の「Microsoft Office のゼロデイ CVE-2026-21509:実環境での悪用に対処するアップデートの確認」も、ご参照ください。