Microsoft HTML の脆弱性 CVE-2026-21513:2026年2月の Patch Tuesday 前に APT28 が悪用

MSHTML Framework 0-Day Exploited by APT28 Hackers Before Feb 2026’s Patch Tuesday Update

2026/03/02 CyberSecurityNews — Microsoft HTML (MSHTML) フレームワークに存在するゼロデイ脆弱性が、実環境で積極的に悪用されていることが判明した。この脆弱性 CVE-2026-21513 (CVSS:8.8:High) を悪用する攻撃者は、セキュリティ機能をバイパスし、任意のファイル/コードを実行できる。この脆弱性は、現時点でサポート対象となっている、すべての Windows バージョンに影響を及ぼす。

Akamai のセキュリティ研究者たちが確認したのは、2026年2月に Microsoft がパッチを公開する以前から、ロシア政府が支援する脅威グループ APT28 が、この欠陥を悪用していたことである。彼らは、マルチ・エージェント AI システムである PatchDiff-AI を使用し、根本的な原因を自動的に分析した。

その結果として、MSHTML フレームワーク “ieframe.dll” 内の、ハイパーリンク・ナビゲーションを処理する _AttemptShellExecuteForHlinkNavigate 関数に欠陥が存在することが判明した。

FeatureDetails
CVE IDCVE-2026-21513
CVSS Score8.8 (High)
Affected ComponentMSHTML Framework (ieframe.dll)
ImpactSecurity Feature Bypass, Arbitrary Code Execution
Patch DateFebruary 2026 Patch Tuesday

この脆弱性は、ターゲット URL の検証不足に起因する。この不備により、攻撃者が制御する入力が ShellExecuteExW を呼び出すコード・パスに到達可能となる。その結果、ローカルまたはリモートのリソースが、本来のブラウザ・セキュリティ・コンテキスト外で実行される可能性がある。

Snippet from PatchDiff-AI report, pinpointing the vulnerable code path (Source: Akamai)
Snippet from PatchDiff-AI report, pinpointing the vulnerable code path (Source: Akamai)

研究者たちは、脆弱なコード・パスを公開脅威インテリジェンスと照合し、2026年1月30日に VirusTotal に提出された悪意あるサンプルを特定した。このサンプル “document.doc.LNK.download” は、APT28 関連インフラと関連付けられていた。このペイロードは、標準 LNK 構造の直後に、HTML ファイルを埋め込むという、特別に細工された Windows ショートカット (.lnk) ファイルを使用している。このペイロードが実行されると、APT28 の多段階キャンペーンに関連するドメイン wellnesscaremed[.]com への接続が、LNK ファイルにより完了する。

Akamai の分析によると、このエクスプロイトはネストされた iframe および複数の DOM (Document Object Model) コンテキストを利用して、信頼境界を操作するものである。この手法により、Mark of the Web (MotW) および Internet Explorer Enhanced Security Configuration (IE ESC) が回避される。つまり、セキュリティ・コンテキストをダウングレードさせることで、攻撃者は脆弱なナビゲーション・フローを誘発し、任意のコード実行を実現する。

A user warning before the script is executed (Source: Akamai)
A user warning before the script is executed (Source: Akamai)

すでに Microsoft は、2026年2月の Patch Tuesday 更新で、この脆弱性に対処している。この修正では、ハイパーリンク・プロトコルに対する検証が強化され、ブラウザ・コンテキスト内での実行が保証される。具体的には、file://、http://、https:// などのサポート対象プロトコルの、ShellExecuteExW への直接の受け渡しが停止され、この攻撃経路が遮断されている。

侵害指標(IOCs)

Akamai の研究者たちは、ネットワーク防御を支援するため、以下の IOC を公開している。

NameIndicator
document.doc.LnKaefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa
Domainwellnesscaremed.com
MITRE TechniquesT1204.001, T1566.001

Akamai は、観測された攻撃について、悪意の .LNK ファイルを使用する、特定キャンペーンによるものだとしている。その一方で、この脆弱性は MSHTML を埋め込むあらゆるコンポーネントからトリガー可能であると警告している。

ユーザー組織にとって必要なことは、2026年2月のセキュリティ更新プログラムを速やかに適用してリスクを軽減し、代替的な配信メカニズムに対しても、継続的な警戒を維持することである。

今回の MSHTML (Microsoft HTML) の脆弱性 CVE-2026-21513 は、ハイパーリンクの処理方法に起因するものです。具体的には、”ieframe.dll” 内の特定の関数における、ターゲット URL の不十分な検証という問題です。この欠陥を突く攻撃者は、悪意を持って用意した入力値により、直接 ShellExecuteExW を呼び出すというパスに到達してしまいました。結果として、本来守られるべきブラウザのセキュリティ制限を超えて、ローカルやリモートのリソースが不正に実行される状態が作られました。ネストされた iframe や複数の DOM (Document Object Model) コンテキストを組み合わせた手法で、セキュリティ機能をすり抜ける仕組みでした。よろしければ、CVE-2026-21513 での検索結果も、ご参照ください。