主なポイント

✓ CVE-2026-21513は、MSHTMLフレームワークにおけるセキュリティ機能バイパスを引き起こす脆弱性です。
✓ APT28は、この脆弱性を利用して悪意のあるファイルを通じて攻撃を行っているとされています。

社会的影響

! この脆弱性の悪用は、企業や個人のデータセキュリティに深刻な影響を及ぼす可能性があります。
! APT28の活動は、国家間のサイバー戦争の一環として、国際的な緊張を高める要因となるでしょう。

編集長の意見

CVE-2026-21513の悪用は、APT28のような国家支援の脅威アクターによるサイバー攻撃の新たな局面を示しています。この脆弱性は、MSHTMLフレームワークにおけるセキュリティ機能のバイパスを可能にし、攻撃者が悪意のあるファイルを通じてシステムに侵入する手段を提供します。特に、攻撃者がユーザーに対して悪意のあるHTMLファイルやショートカットファイルを開かせる手法は、フィッシング攻撃の一環として広く利用されています。これにより、企業や個人のデータが危険にさらされる可能性が高まります。さらに、APT28は過去にもMicrosoft製品の脆弱性を悪用しており、今後も同様の攻撃が続くことが予想されます。企業は、最新のセキュリティパッチを適用し、従業員に対してフィッシング攻撃に対する教育を行うことが重要です。また、セキュリティインシデントに迅速に対応できる体制を整えることも求められます。今後の課題としては、脆弱性の早期発見と修正、そして攻撃手法の進化に対する適応が挙げられます。これらの対策を講じることで、サイバー攻撃のリスクを軽減することができるでしょう。

解説

APT28がMSHTMLのSecurity Feature Bypass（CVE-2026-21513）を0-day悪用、HTML/LNKで初動突破する現実味です

今日の深掘りポイント

Internet Explorerは終わっても、MSHTMLは生きており、OfficeやIEモード経由で組織の初動防御をすり抜ける経路が残り続けている点が本質です。
今回は「脆弱性そのものがRCE」ではなく「セキュリティ機能バイパス」ですが、HTML/LNKと組み合わせれば実質的にコード実行へ連鎖し得るため、運用リスクはRCE級に等しいです。
APT28関与の示唆は、標的選定と運用成熟度の高さを意味し、選挙・外交・報道などの時事に即したテーマを起点に、短期勝負のスピアフィッシングが想定されます。
既に修正は提供済みで、緊急のパッチ適用に加え、メール/ゲートウェイでのHTML・LNKの厳格化、ASR等のプロセス連鎖制御、IEモードの無効化検討が差しどころです。
検知は「Office/ブラウザ → スクリプト/LOLBin起動」「ユーザー書き込み領域のLNK実行」「初回観測ドメインへの即時外向き通信」を軸に、ハンティングで前倒しに抑え込むべきです。

はじめに

攻撃者にとって「はじめの一歩」は、いまもHTMLとショートカット（LNK）です。ユーザーにワンクリックさせるだけで、OSやOfficeが積み上げてきた保護レイヤーの継ぎ目を突く——今回明らかになったMSHTML（旧IEエンジン）のSecurity Feature Bypass（CVE-2026-21513）は、その継ぎ目を開く0-dayとして使われた可能性が指摘されています。修正は提供済みですが、実際に攻撃で使われていた事実が重いです。ここでは、何が問題の核心か、どこから手を打つべきかを、現場目線で深掘りします。

深掘り詳細

事実関係（いま確かに見えていること）

対象はMSHTMLフレームワークのセキュリティ機能バイパス（CVE-2026-21513）です。Microsoftは2026年2月のPatch Tuesdayで修正しています。
Akamaiの調査によれば、ロシア関連の国家支援アクターAPT28が本件を0-dayとして悪用した可能性があります。実運用の攻撃が観測されています。
ユーザーに悪意のあるHTMLファイルやショートカット（LNK）を開かせることで、コード実行に至る連鎖が成立し得ます。報告ではMSHTML内部の処理（ieframe.dllに紐づくURL検証の不備）に起因する点が示されています。
深刻度は高評価で、初動突破（フィッシング）と組み合わさることで、EDRまで届く「静かで速い初動」を作る性質があります。
出典・詳細はセカンダリですが、まとまりの良いレポーティングとして以下が参考になります。The Hacker Newsの報道です。

編集部のインサイト（なぜ今、これが刺さるのか）

「SFBはRCEではない」——この思い込みが危険です。SFBは保護境界（Mark-of-the-Web、ゾーン判定、Protected Mode相当の制御、プロンプトなど）を崩し、既存のスクリプト実行やサイン済みバイナリ悪用（LOLBin）につなぐ“土台破り”です。HTMLやLNKはメール/チャット/クラウド共有のどこからでも入ってくるため、ユーザー操作1回分の心理的障壁しかありません。
IEは退役済みでも、MSHTMLはOfficeの描画・プレビューやEdgeのIEモードなどに健在です。結果として「IEは使っていないから安全」という自己認識と、実際の攻撃面の広さにギャップが生まれます。このギャップが、国家系アクターに“早くて静かな初動”を与えます。
メトリクス全体像からは、実害の発生可能性と即応の必要性が突出しており、技術的難度は高くない一方、オペレーションの熟練度が高い相手という読みになります。つまり、パッチ適用だけで満点にはならず、「入口で止める」「連鎖を断つ」「初動を炙り出す」の三段構えが要諦です。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って、現時点の公開情報を踏まえた仮説シナリオです（仮説であり、特定の事例・組織への断定ではないです）。

シナリオA：HTML経由の初動突破（メール添付/クラウド共有）
- Initial Access: T1566.001（Spearphishing Attachment）
- Execution: T1204（User Execution）→ SFBを足掛かりに実行コンテキストを獲得（仮説）
- Defense Evasion: T1553（Subvert Trust Controls）やゾーン/モットW相当の回避（仮説）
- Command & Control: T1071（Application Layer Protocol/HTTPS）
- Impact/Risks: ユーザー権限内でのローダ実行→EDR到達前に設定・トークン窃取、社内SaaSへの横移動準備が進む可能性があります。
シナリオB：LNKショートカットの偽装ドキュメント
- Initial Access: T1566.001（添付）またはT1566.002（Spearphishing Link）
- Execution: T1204（User Execution）でLNK起動→SFBを介した保護回避（仮説）
- Signed Binary Proxy Execution: T1218（mshta/rundll32等のLOLBin活用は一般論として想定、個別事案は未確認のため仮説）
- Persistence/Defense Evasion: T1112（Modify Registry）やT1547（Autostart）で軽量な常駐化（仮説）
- Discovery/Exfil: T1082（System Information Discovery）、T1041（Exfiltration Over C2 Channel）（仮説）
- Impact/Risks: メールクライアントのキャッシュ/ダウンロードフォルダ直下での実行が多く、ユーザー書き込み領域で痕跡が薄くなる傾向があります。
想定される影響
- 標的型キャンペーン（政府・外交・防衛・報道・選挙関連）との親和性が高く、意思決定情報や資格情報、MFA疲労を誘発する二次攻撃につながりやすいです。
- 日本国内でも同種業種・役割（渉外・選挙・公共政策・研究機関・ベンダー経由のサプライチェーン）が相対的に高リスクと見ます（一般論の範囲での評価です）。

セキュリティ担当者のアクション

優先度順に、現実的な“止血”と“先手”を挙げます。

パッチ適用の前倒し運用

2026年2月分の更新でCVE-2026-21513が修正済みです。高リスク端末（役員/渉外/記者/メール添付の多い部署/VDIゲートウェイ）は優先リングで即時適用します。
適用確認を資産/脆弱性管理台帳で可視化し、未適用率を日次で追跡します。未適用端末には一時的に厳格な実行ポリシーを重ねます。

HTML/LNKの入口対策を「拡張子依存から内容検査」へ

ゲートウェイでHTML/HTM/SHTML/CHM/LNK/URL/WSF/HTAなど実行性の高いコンテンツを原則ブロック、業務例外は申請型で一時発行にします。
圧縮ファイル内も解凍検査し、拡張子偽装（.pdf.lnk等）をシグネチャではなくマジックナンバー/ヘッダ判定で遮断します。
クラウド共有（OneDrive/SharePoint/Box等）の外来リンクも、ダウンロード前スキャンと“隔離ビュー（サンドボックス閲覧）”を既定にします。

連鎖を断つエンドポイントの実行制御

Attack Surface Reduction（ASR）で「Officeからの子プロセス起動禁止」「OfficeからのWin32 API呼び出し抑止」「メールクライアント経由の実行抑止」を有効化します（監査→ブロックの段階移行を短期で完遂します）。
WDAC/AppLockerでmshta.exe、wscript.exe、cscript.exe、rundll32.exeなどのLOLBinを“ユーザー書き込み領域やメールキャッシュからの起動”に限定して拒否します。
EdgeのIEモードは必要最小限に絞り、不要な部署では無効化を検討します。

検知・ハンティング（7〜14日の短期スプリント）

プロセス連鎖の基本形をルール化します（例）
- winword/excel/powerpnt/outlook/edge/msedgewebview2 → cmd/powershell/wscript/cscript/mshta/rundll32 の子プロセス生成
- ユーザー書き込み領域（Downloads、AppData\Local\Temp、Content.Outlook など）からの .lnk 実行
- HTML/HTA/スクリプト実行直後の初観測ドメインへのHTTPS通信（SNI/JA3が新規のもの）
ログ基盤では、スクリプトブロック記録（PowerShell）、AMSI、エンドポイントのプロセスツリー、メールゲートウェイのサンドボックス結果を相関します。
兆候が出た端点は“ネットワーク隔離→メモリ/ディスクの揮発・恒久アーティファクト採取→横展開検査”の定型を迅速適用します。

メール・協業ツールの安全化

既定でHTMLプレビュー/リンク自動展開を制限し、外部リンクは警告バナーと改ざん検知（URL書き換え・ブランド偽装検査）を併用します。
感度の高い部署には“添付ファイルの非許可（クラウド共有リンクへの置換＋隔離ビュー）”を適用します。

アイデンティティとクラウド側の抑止

端末初動突破を前提に、条件付きアクセスで“未準拠端末/新規ASN/トークン挙動異常”を強制ブロックします。
OAuth許可/同意のモニタリング、MFA疲労攻撃のしきい値低減、緊急用アカウントの定期ローテーションを運用化します。

インシデント対応準備と広報連携

APT28相当のケースを想定した卓上演習（スピアフィッシング→情報流出の広報判断）を、渉外・広報と同席で短周期に回します。
ベンダー/委託先に対し、HTML/LNKの取り扱い方針とパッチ適用SLAを明示し、合意書に反映します。

最後に——今回のポイントは「SFBの地味さ」にあります。派手なゼロクリックRCEではありませんが、組織の“いつもの運用”の継ぎ目を、熟練の手で確実に突くタイプです。入口・連鎖・初動の3点を同時に詰めることが、実害を未然に留める最短距離です。

参考情報

The Hacker News: APT28 Tied to CVE-2026-21513 MSHTML 0-Day Exploitation（Akamaiの調査に基づく報道）: https://thehackernews.com/2026/03/apt28-tied-to-cve-2026-21513-mshtml-0.html

（注）本文のMITRE ATT&CKマッピングおよび戦術連鎖は、公開情報を基にした編集部の仮説であり、個別インシデントの技術的詳細を断定するものではありません。最新の公式アドバイザリと検知シグネチャは、各社の配信情報に従って都度更新してください。

背景情報

i CVE-2026-21513は、MSHTMLフレームワークにおけるセキュリティ機能のバイパスを引き起こす脆弱性であり、攻撃者が不正にコードを実行することを可能にします。この脆弱性は、特に「ieframe.dll」に関連しており、ターゲットURLの不十分な検証が原因です。
i APT28は、ロシアに関連する国家支援のサイバー攻撃グループであり、過去にもMicrosoft製品の脆弱性を悪用してきました。今回の脆弱性も、同グループの攻撃手法の一環として利用されています。

メトリクス