エグゼクティブサマリー
- 2026 年 2 月に公開された Patch Tuesday で Microsoft は、MSHTML フレームワーク内のセキュリティ機能をバイパスする脆弱性 CVE-2026-21513 のパッチを配布しました。
- この脆弱性はすべての Windows バージョンに影響します。また、活発な悪用が散見されており、CVSS スコアは 8.8 となっています。
- Akamai の研究者は、PatchDiff-AI を利用してパッチの根本原因を自動分析し、ロシアの国家支援型脅威アクター APT28 が関与する、実際に観察された悪用と関連づけました。
- このブログ投稿では、CVE-2026-21513 の技術的な解説、根本原因の説明、およびその悪用の分析結果をご紹介します。
- このブログ記事では、脅威の痕跡(IOC)のリストも確認できます。この脅威に対する防御にお役立てください。
脆弱性
Microsoft が 2026 年 2 月に配布したパッチでは、悪用が活発化していた 6 件のゼロデイ脆弱性を含む、59 件の脆弱性が修正されました。CVE-2026-21513 はその悪用の活発さと、影響度の大きさ、そしてブラウザーのセキュリティ境界をバイパスして任意のファイル実行をトリガーする機能から、注目されていました。
Akamai では PatchDiff-AI というマルチエージェントシステムを活用して、CVE-2026-21513 とそのパッチを分析しました。PatchDiff-AI が生成したレポートから、脆弱なコンポーネントと攻撃ベクトルに関する知見が明らかになりました。
根本原因
PatchDiff-AI によるレポートでは、CVE-2026-21513 が ieframe.dll (Internet Explorer フレーム)内の特定の関数と結びついていることが示されています。この脆弱性は、ハイパーリンクナビゲーションの処理を担当するロジックに存在します。ターゲット URL の検証が不十分な場合、攻撃者の操作する入力が ShellExecuteExW を呼び出すコードパスに到達し、意図したブラウザーのセキュリティコンテキスト外でローカルリソースまたはリモートリソースを実行できるようになってしまいます(図 1)。
図 2 は、パッチによって修正される _AttemptShellExecuteForHlinkNavigate のフローの違いを示したコードパスの図です。
脆弱なコードブロックをトリガーするためには、ActiveX フォームを使用して Internet Explorer を呼び出し、何によってフローが開始するかを正確に追跡する必要がありました。私たちは「System.Windows.Forms.WebBrowser」のコンポーネントを使用し、それを「System.Windows.Forms.Form」オブジェクトに表示することで、MSHTML および IEFRAME モジュールを使用して解析および構築された HTML ファイルをロードしました。
もう 1 つの重要なコンポーネントは、DOM インターフェースを公開し、脆弱な機能をトリガーする方法で操作可能な「htmlfile」です。
脆弱なコードとそのコードをトリガーする関数呼び出しを調べたところ、次のような脆弱性が発生しました。
悪用
私たちは、脆弱なコードパスをパブリック脅威インテリジェンスに関連付けることで、この機能を利用していたサンプル(document.doc.Lnk.download)を特定しました。
このサンプルは、2 月の Patch Tuesday が公開される直前の、2026 年 1 月 30 日に VirusTotal に最初に送信されたもので、ロシアの国家支援を受けて活発に活動している脅威アクターの APT28 に紐づくインフラと関連付けられています(図 3)。
このペイロードには、標準の LNK 構造の直後に HTML ファイルを埋め込む、特別に細工された Windows ショートカット(.lnk)が含まれます。
LNK ファイルは wellnesscatremed[.]com との通信を開始しますが、このドメインは APT28 に帰属し、キャンペーンのマルチステージ型ペイロードに広く使用されてきたものです。
この悪用では、ネストされた iframe と複数の DOM コンテキストを利用して、信頼境界を操作します。
こうした手法をとることで、攻撃者は、Mark of the Web(MotW)と Internet Explorer Enhanced Security Configuration(IE ESC)をバイパスし、脆弱なナビゲーションフローをトリガーする前にセキュリティコンテキストを効果的にダウングレードすることができます。最終的には、攻撃者が制御するコンテンツが ShellExecuteExW を呼び出すコードパスに到達し、ブラウザーのサンドボックス外で実行されるようになります(図 4)。
{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));このスクリプトを Internet Explorer で直接実行すると、上記のセキュリティ機能が実行され、ユーザーに警告が表示され、悪用の成功率が低下します(図 5)。
悪用に成功すると、セキュリティ機能がバイパスされ、攻撃者が制御するコードが実行されます。図 6 のスクリーンショットは、非常に長い呼び出しスタックの冒頭部分です。画像から、脆弱な関数 _AttemptShellExecuteForHlinkNavigate の呼び出しが行われていることを確認できます 。
観察されたキャンペーンでは悪性の .LNK ファイルを利用していましたが、脆弱なコードパスは MSHTML を埋め込むあらゆるコンポーネントを通じてトリガーできます。そのため、LNK ベースのフィッシングを超えるさらなる配信メカニズムが想定されます。
修正
Microsoft は、サポートされているプロトコル(file://、http://、https:// など)を ShellExecuteExW に直接渡すのではなく、ブラウザーのコンテキスト内で実行できるようにするため、ハイパーリンクプロトコルに対してより厳しい検証を導入しました。
資産を保護する
Microsoft の 2026 年 2 月のセキュリティ更新プログラムを適用すれば、この脆弱性は完全に緩和されます。
APT28 のドメインは、Akamai 独自の脅威インテリジェンスで追跡されています。Akamai Hunt は、この攻撃(T1204.001、T1566.001)に関連するアクティビティパターンを検知して警告します。また、脆弱な資産が検知されると、自動的にお客様に通知します。
PatchDiff-AI は、脆弱性の根本原因を即座に分析し、迅速に特定し、実際の悪用の分析を加速します。
IOC
名前 |
指標 |
|---|---|
| document.doc.LNK | aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa |
ドメイン |
wellnesscaremed[.]com |
MITRE Techniques |
T1204.001、T1566.001 |
タグ
