技術 約3分で読めます

APT28がMSHTMLゼロデイCVE-2026-21513を悪用、2月パッチまで野放し

Security Windows APT28 MSHTML CVE

2026年2月のPatch Tuesdayでパッチが当たった脆弱性のひとつ、CVE-2026-21513が、ロシア系国家支援グループAPT28によってパッチより前から実際に使われていたことが判明した。CVSS 8.8、セキュリティ機能バイパスという分類だが、実質的にはブラウザのサンドボックス外でコードが実行できる。

何が起きていたか

Microsoft Threat Intelligence Center(MSTIC)とGoogle Threat Intelligence Group(GTIG)の調査によると、APT28が悪用ペイロードをVirusTotalへアップロードしたのは2026年1月30日。2月のパッチリリースより先だ。同時期、CERT-UKも関連する攻撃(CVE-2026-21509と紐付き)を報告していた。

脆弱性はieframe.dll内のハイパーリンク処理に存在する。ターゲットURLの検証が不十分で、攻撃者が制御する入力がShellExecuteExWを呼び出すコードパスに到達できる。その結果、ローカルまたはリモートのリソースがブラウザのセキュリティコンテキスト外で実行される。

技術的な仕組み

MSHTMLはInternet Explorer由来のレンダリングエンジンで、現在もWindows上の多くのアプリケーションに埋め込まれている。今回の欠陥はMSHTMLをホストするどのコンポーネントでもトリガーできる点が厄介だった。

APT28の攻撃チェーンはこうなっている。

  • Windowsショートカット(LNK)ファイルを配信。LNK構造の直後にHTMLファイルが埋め込まれている
  • 開かれるとieframe.dll経由でURLバリデーションをすり抜け、ShellExecuteExWが呼ばれる
  • ネストされたiframeと複数のDOMコンテキストを使って信頼境界を操作
  • Mark-of-the-Web(MotW)とIE Enhanced Security Configuration(IE ESC)の両方をバイパス

C2インフラはwellnesscaremed[.]comを使用し、このドメインはAPT28のインフラとして識別されている。配信経路はメールかリンク経由で、ユーザーがLNKファイルを開くことが条件になる。

MotWバイパスの意味

Mark-of-the-Webはダウンロードされたファイルに付加されるゾーン情報で、インターネットから入手したファイルを開くときに警告が表示される仕組みだ。これを今回の攻撃がバイパスできるということは、「見知らぬところからダウンロードしたファイルを開くな」という通常の防御策が機能しなくなる。さらにIE ESCも回避されるため、企業環境で設定された追加の防護層も無効化される。

対応

2026年2月Patch Tuesday(KB5077181)で修正済み。Windows Updateを適用済みの環境ではこの脆弱性の影響はない。

ただしKB5077181自体が別の問題を引き起こしている。特定GPU構成での dxgmms2.sys BSOD、ブートループ、DHCP障害によるネットワーク不通、Bluetooth接続切れ、ゲームのフレームレート30〜50%低下など、報告が多岐にわたる。セキュリティパッチだから当てないわけにいかないが、当てたら別の理由で壊れるかもしれないという毎度のジレンマ。パッチ適用後に不安定になった場合はWindows Centralの報告を参照。

古い証明書で署名されたLNKファイルを安全に扱えると誤解しているエンドポイントや、パッチ適用が遅れているWindows環境では引き続き標的になり得る。APT28はNATOやウクライナ支援国の政府・軍・外交機関を狙うことで知られており、今回もその文脈での標的型攻撃だった可能性が高い。

脆弱性の発見・解析にはMicrosoft Threat Intelligence Center、Microsoft Security Response Center、Office Product Group Security Team、Google Threat Intelligence Groupが関与している。