APT28が緊急修正直後のOffice脆弱性（CVE-2026-21509）を武器化、RTF経由でバックドア投入中です

今日の深掘りポイント

• パッチ直後の悪用開始は「パッチディフ能力」とオペレーションの即応性を示し、Nデイ武器化の速度が増している兆候です。
• RTF/OLEはマクロ無効化後の「次の足場」として長命な攻撃面のまま残り、依然として高リスクです。
• 多段ローダー（MiniDoor、PixyNetLoader）構成は検知分散と段階的権限拡大を意図した設計で、EPP/EDR回避に寄与します。
• 中東欧中心の照準は、同盟・取引関係を通じた二次被害の連鎖を招き、日本企業にもサプライチェーン経由の曝露リスクがあります。
• 技術対策は「パッチ + ASR + File Block + OLE制御」の合わせ技で層を作り、SOCはOffice子プロセスとC2の行動分析を強化すべきです。

はじめに

「修正が出た瞬間が一番危ない」——古い格言の正しさを、今回の事案がまた裏付けています。ロシアの国家支援グループAPT28（Fancy Bear）が、Microsoft OfficeのCVE-2026-21509を悪用し、悪意あるRTFからバックドアを展開する攻撃を始めています。標的はウクライナや中東欧が中心ですが、欧州拠点や政府系カウンターパートと日常的に文書をやり取りする日本組織にも、波及のリスクが現実的にあります。単なるパッチ適用の呼びかけで終わらせず、攻撃者の設計思想と私たちの守りの「継ぎ目」を見直すタイミングです。

深掘り詳細

いま起きている事実（提供情報の範囲）

• APT28が、Microsoft Officeの脆弱性CVE-2026-21509を悪用し、悪意あるRTFを介してバックドアを展開しています。主にウクライナ、スロバキア、ルーマニアのユーザーに対するフィッシングキャンペーンが確認されています。
• 脆弱性はOfficeのOLE緩和策を回避可能にするもので、Microsoftの緊急修正公開直後に悪用が始まっています。CERT-UAは、攻撃に使われたファイルが修正直後に作成されたと報告しています。
• Zscalerの研究者は、二系統のドロッパーを観測しています。ひとつはメールの窃取に特化したMiniDoor、もうひとつはPixyNetLoaderを用いた多段階感染で、後続ペイロードの取得に使われます。
• 今後、同脆弱性を狙う攻撃が拡大する見込みが示されています。
• 出典（一次情報の再引用を含むまとめ報道）: Help Net Security

編集部のインサイト（なぜそれが効くのか）

• パッチ直後の悪用は、攻撃側が公開差分から脆弱性の本質を特定し、短時間でPoC→実運用へ移す「Nデイのスプリント」を日常運用していることを示します。これはゼロデイの希少性に依存しない持続的な攻撃能力です。防御側は「ゼロデイ対策」だけではなく、「緊急パッチ後の数日間」を最も危険なウィンドウとみなす運用へ転換すべきです。
• マクロ既定無効化以降、攻撃者はRTF/OLE、テンプレート注入、DDEなど「ユーザー操作に見えるが実質は自動実行」の境界を突いてきました。OLE緩和のバイパスは、その境界にある設計の継ぎ目を狙ったものです。技術的な穴の封止と同時に、Officeが子プロセスを生むふるまい自体をASRで網かけする発想が要ります。
• MiniDoorでメールを先に押さえる設計は、認証情報・会話スレッド・連絡先を資源化し、後続のなりすましや影響工作の精度を上げる「情報戦の前段取り」です。PixyNetLoaderの多段化は、初期検知時の解析妨害・フラグメント化によるシグネチャ回避に合理性があります。
• 地域的に離れた脅威でも、現実のワークフロー（委託先・国際共同研究・欧州当局への報告ルート）を経由して文書は行き来します。ゲートウェイでのRTF扱いと、外連携アカウントへの強化策（分離、ラベル付与、より厳格なASR）を「人と業務の流れ」に合わせて設計することが重要です。

脅威シナリオと影響

以下は観測情報に基づく合理的な仮説です。MITRE ATT&CKに沿って記述しますが、テクニックIDは代表例です。

• シナリオ1：官公庁宛スピアフィッシングによる初期侵入

  • Initial Access: スピアフィッシング添付（T1566.001）
  • Execution: RTF内のOLE緩和回避を突いたクライアント実行の悪用（T1203）、ユーザー実行/悪性ファイル（T1204.002）
  • Defense Evasion: 多段ローダー化（T1027/難読化・暗号化の手法に準ずる）、署名のないLOLBin活用（T1218）
  • Persistence: レジストリRunキーやタスク登録の可能性（T1547、T1053）
  • Credential Access/Collection: メールクライアントやプロファイルからの収集（T1114）
  • Command and Control: アプリケーション層プロトコルでのC2（T1071）、外部からのツール転送（T1105）
  • Exfiltration: 既存C2チャネル経由の流出（T1041）
  • 影響：メール窃取による作戦理解、対外関係の攪乱、後続の影響工作の素材化です。

• シナリオ2：欧州パートナーを経由した企業環境への二次侵入

  • Initial Access: 正規スレッド返信型フィッシング（T1566.002の文脈で）、業務連絡を装うRTF送付
  • Lateral Movement: 盗取したメール・認証情報を起点にクラウド/オンプレ混在の横移動（T1550/T1078）
  • 影響：業務メールの機密流出、見積・発注の改ざん、取引先への連鎖感染です。

• シナリオ3：広報・報道分野への侵入と情報操作の下地づくり

  • Collection/Exfiltration: 編集部・広報部のメールスレッド収集（T1114, T1041）
  • 影響：偽情報流布の信頼性向上、反証の遅延、世論形成への間接効果です。

いずれも「メールをまず押さえる」設計が共通しており、短期の運用影響より中長期の情報優位確保に重心が置かれている点が、今回の攻撃の厄介さです。

セキュリティ担当者のアクション

優先度順に、実行負荷と効果のバランスで整理します。

• 48時間以内の基本対処

  • 最新のOffice更新を緊急適用します。更新リングを「高速」「通常」に分け、前者で即時検証→後者へ段階展開する運用を徹底します。
  • メール/ウェブゲートウェイでRTF添付の受信を一時的にブロックまたはサンドボックス行きに強制します。やむを得ず通す場合は自動PDF化などの無害化を検討します。
  • M365/Defender等のASR（Attack Surface Reduction）を有効化します（名前ベースで列挙）。
    • Officeが子プロセスを生成するのをブロック
    • Officeが実行可能コンテンツを作成するのをブロック
    • OfficeマクロからのWin32 API呼び出しをブロック
    • 難読化スクリプトの実行をブロック
  • WordのFile BlockポリシーでRTFの開封を禁止（必要時は保護ビューのみ）に設定します。部署単位の例外は最小化します。
  • Outlook/メールクライアントで外部コンテンツの自動取得を禁止し、RTF/不審拡張子のプレビューを抑止します。

• 検知・ハンティングの強化（SOC向け）

  • ふるまい検知の要点：
    • WINWORD/EXCEL/POWERPNTからの子プロセス生成（cmd, powershell, wscript, cscript, mshta, rundll32, regsvr32, curl等）
    • Office起点の新規DLLロードやScriptlet実行、WMI/スケジュールタスク作成
    • 新規の永続化痕跡（Runキー、Scheduled Tasks、スタートアップフォルダ）
    • 環境から外向きの短寿命TLS通信や珍しいSNI/ドメインへのBeacon
  • メールの標的化検知：
    • ルール作成・転送設定の新規追加、IMAP/POPの突如有効化
    • 異常なEWS/Graph API呼び出しの増加（国・時間帯の不一致）
  • インシデント発覚時の即応：
    • 端末隔離、メモリ/ディスクのトリアージ、メールボックス監査（Forwarding/Rules/Delegation）
    • 被害窓口の社外連絡先洗い出しと、二次被害防止の通知テンプレート準備

• 構成・プロセスの見直し

  • OLE埋め込みと外部テンプレート機能の必要性を棚卸し、使わない部門で原則禁止にします。
  • 文書共有の「安全な代替」設計（共有リンク＋閲覧専用＋ブラウザビュー）を推進し、添付送受を減らします。
  • 欧州拠点・政府営業・対外渉外の「高リスク業務アカウント」に追加ガード（分離端末、強化ASR、送受信ポリシー、MFAのフィッシング耐性強化）を適用します。
  • 研修は「RTFの危険性」「正規スレッド返信型フィッシング」への感度を上げる内容に刷新します。単発でなく四半期ごとの小テストを回します。

• 中長期の耐性向上

  • WDAC/ApplockerでLOLBinの濫用を抑止し、未知実行の面を狭めます。
  • パッチの「緊急適用ウィンドウ」をSLA化（例えばクリティカルは48～72時間）し、業務側の受け入れと衝突しないフローを共同設計します。
  • TIP/TTPベースの検知へ：IOC待ちではなく、「Office→LOLBin」「メール→ルール改変→外送」の行動連鎖を継続監視します。

最後に、今回の脅威は緊急性と実行可能性が高い一方で、技術対策のレイヤリングと運用の工夫で十分にリスクを下げられる類型です。パッチ適用だけで満足せず、「Officeのふるまい」を縛るコントロールと、メールの前後段で流れを変える工夫を、今日のうちに積み上げていきたいところです。

参考情報

• Help Net Security: Russian hackers are exploiting recently patched Microsoft Office vulnerability (CVE-2026-21509) https://www.helpnetsecurity.com/2026/02/03/russian-hackers-are-exploiting-recently-patched-microsoft-office-vulnerability-cve-2026-21509/