APT28がOffice新CVE-2026-21509をRTFで即日悪用──メール窃取とC2確立の二段構えです

今日の深掘りポイント

• 公表からわずか3日で実運用に転じた“n-day”悪用の速度が異常に早く、パッチ適用の遅延が即リスクに転化する相場観になっている点が本質です。
• ベクタはRTF添付＋社会工学で、マクロに依存しない実行経路を狙う「攻撃表面の古典回帰」が起きています。技術制御と人の判断の二正面での防御が要ります。
• 侵入直後の成果物はメール窃取（MiniDoor）とCovenant Gruntの設置で、初期情報収集と持続的C2の両輪を素早く立ち上げる運用設計が見えます。
• 標的はウクライナ／スロバキア／ルーマニア。EU域内行政・エネルギーへの波及懸念が現実味を帯び、第三国の拠点・子会社経由の伝播も警戒すべき局面です。
• スコアリングの観点からも緊急性と実行可能性が高く、現場は“今日”からの遮断・可視化・ハンティングを同時に回すことが求められます。

はじめに

戦時環境下のサイバーは、ゼロデイの独占よりも「公表直後のn-dayを素早く武器化」する現実主義へと舵を切っています。今回のAPT28によるCVE-2026-21509悪用は、まさにその潮流のど真ん中にある事案です。RTFという古典的な容れ物に、社会工学の文脈を乗せ、メール窃盗ツールと汎用C2エージェントを一気に展開する──戦術の無駄が極端に削ぎ落とされています。ここで問われるのは“パッチの有無”だけではなく、Office系ファイルに対する組織的な取扱基準、ASRなどの強制力、エンドポイントのふるまい可視化、そしてユーザー教育が資産として機能しているかどうかです。今日の深掘りでは、その勘所を整理します。

深掘り詳細

事実関係（確認できていること）

• 攻撃者はロシア関連とされるAPT28で、Microsoft Officeの新規脆弱性CVE-2026-21509を悪用しています。ベクタは悪意あるRTF添付と社会工学です。
• 観測は2026年1月29日で、脆弱性公表の3日後に実行へ移っています。
• ペイロードはメール窃盗ツール「MiniDoor」と、オープンソースC2のエージェント「Covenant Grunt」です。初期段階でメール情報の収集とC2基盤の確立を両立させています。
• 主な標的はウクライナ、スロバキア、ルーマニアのユーザーです。政府機関や重要インフラへの影響が懸念されます。
• 参考（報道）：The Hacker News です。

※一次情報（ベンダーアドバイザリ／公式IOC／技術詳細）の公開が限られるため、本稿の技術的推測要素は明示的に“仮説”として区別します。

編集部のインサイト（仮説と含意）

• 公表→悪用まで3日という事実は、脆弱性の性質そのものよりも「準備済みの武器化パイプライン」を示唆します。すなわち、Office系のセキュリティ機能バイパス群に対して、事前にテンプレ化されたエクスプロイト鎖を持ち、差分だけを差し替えて供給できる体制があるという読みです。これは攻撃“能力”ではなく、攻撃“生産性”の問題です。
• RTFを使う選択は合理的です。RTFは組織のイメージ上「文書」として扱われがちで、マクロ無効化の強化後も、埋め込みオブジェクトやコンテンツの自動処理に残る隙を突けます。過去にもRTF/OLE系のバグは長命で、検知上も「WINWORD.exe→子プロセス発火」のシグナルが鍵になりますが、回避の洗練も進みます。
• 初期段階で「メール窃取（MiniDoor）」を先行させる設計は、二つの効果を狙えます。ひとつは、被害組織の業務脈絡（誰が誰に何を送るか）を迅速に把握することで、社会工学の精度を上げること、もうひとつは、盗んだスレッドを使った横展開の説得力（返信チェーンの乗っ取り）です。情報スパイ・作戦の双方で効くレバーです。
• Covenant Gruntの投入は、C2基盤の確立を“汎用化”する戦術です。オープンソースC2を国家系があえて使うのは、擬態（雑音への同化）と運用コスト削減の観点で合理的です。検知側は「C2の特定プロダクト指紋」を当てにせず、ふるまいとトラフィックのベースライン偏差で拾う設計に寄せるべきです。
• 地理ターゲティング（ウクライナ、スロバキア、ルーマニア）は、EU・NATO周縁を軸にした情報収集と意思決定攪乱の文脈に合致します。日本企業にとっては、現地拠点やEU本社―東欧拠点の業務接続が「踏み台兼ハブ」になるリスクを見逃せません。地理的に離れても、組織的には隣り合っています。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った“仮説ベース”のシナリオと連鎖です。技術詳細の一部は未公開のため、一般化した推定を含みます。

• シナリオ1：政府機関の渉外部門を狙うスピアフィッシング

  • Initial Access: Spearphishing Attachment（T1566.001）でRTFを投下します。
  • Execution: Exploitation for Client Execution（T1203）、User Execution（T1204）を通じてコード実行に至る想定です。
  • Defense Evasion: Security Feature Bypassに該当するふるまい（T1211に準ずる）や、Signed Binary Proxy Execution（T1218）を組み合わせる可能性があります。
  • Persistence: Registry Run Keys/Startup Folder（T1547.001）、Scheduled Task/Job（T1053）などでC2の再起動性を確保する想定です。
  • Discovery: System Information Discovery（T1082）、Account Discovery（T1033）で環境理解を進めます。
  • Collection: Email Collection（T1114、特にローカルクライアント）でMiniDoorがPST/MAPI等を対象に収集する想定です。
  • Command and Control: Web Protocols（T1071.001）、暗号化チャネルを使うC2常設です。
  • Exfiltration: Exfiltration Over C2 Channel（T1041）で継続的に抽出します。
  • 影響: 機密な交渉・軍事連絡の窃取による意思決定の先読み、偽情報注入の素材収集が主目的です。

• シナリオ2：電力会社の規制対応部門へ侵入し、サプライヤ連鎖へ拡張

  • 初手はシナリオ1と同様で、横展開にValid Accounts（T1078）とRemote Services（T1021）を使い、関連子会社・委託先へ波及させる仮説です。
  • 影響: 運用支援資料・監査文書・図面等の窃取と、業務妨害の下準備（スケジュールや連絡網の把握）です。即時的な破壊ではなく、情報優越の確立が狙いです。

• シナリオ3：スレッド乗っ取りを足がかりに、政策コミュニティへ情報工作

  • 盗取したメールスレッドの返信を装い、Think Tankや省庁横断PJへ不正文書を配布する想定です（T1566.002 Spearphishing via Serviceに進化する可能性）。
  • 影響: 認知・評判の操作、意思決定の遅延・誤誘導です。技術被害は限定でも、戦略的影響は大です。

総じて、今回のメトリクスが示唆するのは“緊急性と現実性の高さ”です。広い組織にとってはインターネット境界よりも、メール・業務フロー・人的接点の境界が薄い場所から崩れる構図です。検知は単一IOCでは追いつかず、プロセス関係・ふるまい・通信の三点セットでの相関が鍵になります。

セキュリティ担当者のアクション

“パッチを当てる”は出発点にすぎません。初動・中期・恒常の三層で設計します。

• 初動（本日〜72時間）

  • 該当するOfficeパッチの適用方針を即時決定し、重要部門から段階的にロールアウトします。難しい場合はApplication GuardやProtected Viewの強制、MOTW適用の徹底を優先します。
  • メールゲートウェイでRTF添付の検査を強化し、当面は高リスク部門に対してRTFの受信を制限します（業務影響は事前に告知し、代替手段を案内します）。
  • EDRで「Officeプロセスが子プロセスを生成する」挙動を一時的に高感度化します。特にWINWORD/EXCEL/POWERPNT→cmd/powershell/mshta/rundll32/regsvr32/wscript/cscriptの経路を重点監視します。
  • プロキシ/ゲートウェイで不審HTTPSの新規宛先（最近初観測のFQDN・SNI・自己署名証明書）をピボットにトリアージします。C2は日和見的に一般的なクラウドも使う前提で、ベースライン偏差に重心を置きます。
  • インシデント準備として、Outlook/PSTへの大量アクセス、急なPSTエクスポート、IMAP/POP3の外向き増加（業務時間外の急伸）を監視項目に追加します。

• 中期（今週中）

  • Microsoft DefenderのASRルールで「Officeが子プロセスを作成」「Officeが実行可能ファイルを作成」「メールとWebクライアントからの実行」を有効化し、誤検知が出る箇所だけ例外で補正します。
  • 高リスク部門（渉外・経営企画・規制対応・現地拠点管理）に対し、スピア型訓練と短時間のブリーフィングを展開します。RTFや翻訳精度の高い誘導文への注意喚起を重点にします。
  • ハンティング運用を回します。直近2週間での「Office→スクリプト/LOLBin」「新規永続化（Runキー/スケジュールタスク）」「ユーザープロファイル下に生成された実行ファイル」の3本柱で広く拾います。

• 恒常対策（今月以降）

  • メールの“資産価値”を踏まえ、DLPやラベリングでPSTや機密スレッドの扱いに明確なルールを付けます。自席エクスポートや個人ストレージ持ち出しの制限を見直します。
  • 文書系ファイルの取り扱いをゼロトラスト化します。未知文書は仮想無害化／サンドボックス経由、既知協力会社の文書でも署名・ラベルを前提に通します。
  • 地政学リスクに紐づく地域・言語の脅威インテリジェンスを定常的に取り込み、IOC偏重ではなくTTPベースで対策の優先順位を引き直します。
  • Red Team/紫チームで「RTF経由のOffice悪用→メール窃取→C2確立」を模擬し、自社検知閾値と復旧動線（隔離・資格情報リセット・取引先連絡）を定期点検します。

最後に、今回の事案は“古典の容器に現代の中身”という組み合わせが効いています。私たちは最新パッチだけでなく、古典的ベクタに対する運用基準の強化と、ユーザーの“迷ったら開かない・相談する”判断力を、技術と同じ重みで育てる必要があります。技術と人、両輪の防御でいきましょう。

参考情報

• 報道：APT28がCVE-2026-21509を悪用（The Hacker News） https://thehackernews.com/2026/02/apt28-uses-microsoft-office-cve-2026.html