概要
2026年1月26日、MicrosoftはOffice製品における極めて深刻なゼロデイ脆弱性「CVE-2026-21509」を公表しました。この脆弱性は、現在進行形で活発な悪用が確認されており、政府機関や重要インフラを標的としたステルス性の高いマルウェア感染を引き起こす可能性があります。
脆弱性の詳細と初期の悪用事例
この脆弱性は、悪意のあるドキュメントファイルを介して高度なマルウェアを展開することを可能にします。Microsoftのアドバイザリ公表からわずか3日後の1月29日には、セキュリティ研究者によって最初の武器化されたドキュメントが発見されました。
発見された悪意のあるファイル「Consultation_Topics_Ukraine(Final).doc」は、欧州連合COREPER委員会のウクライナ協議に関する資料を装っていました。メタデータ分析から、このドキュメントが1月27日に作成されたことが判明し、脆弱性公開後のエクスプロイト開発の迅速さを示しています。
同日、脅威アクターはウクライナ水文気象センターを詐称した組織的なフィッシングキャンペーンを開始。このキャンペーンでは、「BULLETEN_H.doc」という武器化されたDOCファイルを含む悪意のあるメールが、主にウクライナ中央政府機関の60以上のアドレスに配布されました。
攻撃の技術的な連鎖
攻撃は以下の技術的な連鎖を通じて行われます:
- 悪意のあるMicrosoft Officeドキュメントを開くと、外部インフラへのWebDAV接続が開始され、実行可能なコードを含むショートカットファイルがダウンロードされます。
- ペイロードは複数のコンポーネントを展開します。これには、Enhanced Storage Shell Extensionを装ったDLLファイル「EhStoreShell.dll」、シェルコードを含む画像ファイル「SplashScreen.png」、そしてCLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}を介したCOMハイジャックを実装するレジストリ変更が含まれます。
- マルウェアは、「OneDriveHealth」という名前のスケジュールされたタスクを通じて永続性を確立し、explorer.exeプロセスを終了させて再起動します。
- これにより、悪意のあるDLLが画像ファイルからシェルコードを実行し、最終的にCOVENANTポストエクスプロイトフレームワークが展開されます。
- コマンド&コントロール通信には、正当なクラウドストレージサービスであるFilen (filen.io) のインフラが利用されており、検出を困難にしています。
脅威アクターと推奨される対策
セキュリティアナリストは、2026年1月下旬に欧州連合組織を標的とした3つの追加のエクスプロイトドキュメントを特定しました。埋め込まれたURL、ドキュメント構造、およびインフラパターンを分析した結果、この攻撃はロシアの国家支援型脅威グループ「UAC-0001 (APT28)」によるものと推測されています。
1月30日の攻撃では、その日に登録されたドメインが使用されており、作戦の迅速な遂行能力を浮き彫りにしています。武器化までのタイムラインの速さと政府機関への標的化は、組織的なスパイ活動を示唆しています。
Microsoftは、Windowsレジストリ設定の即時変更と、利用可能なセキュリティ更新プログラムの適用を推奨しています。組織は、Filenインフラへのネットワーク接続を監視またはブロックし、Officeドキュメントに対する強化されたメールフィルタリングを実装する必要があります。広範なパッチ展開前にこの脆弱性が悪用されているため、長期にわたるリスク期間が続く可能性があります。セキュリティチームは、Microsoft Officeの更新を最優先し、侵害を防ぐために推奨される緩和策を講じるべきです。