ssecutils
Security / Browser-native guide

APT28が新マルウェアPRISMEXでNATO防衛サプライチェーンを標的 — ステガノグラフィとCOMハイジャックの脅威

11Zero tracking reading surface

概要

2026年、ロシア軍参謀本部情報総局(GRU)に紐づくAPTグループ「APT28」(別名:Pawn Storm・Fancy Bear・UAC-0001)が、新たなマルウェアスイート「PRISMEX」を用いた大規模なスパイキャンペーンを展開していることがTrend Micro・The Hacker News・SecurityAffairsなどの調査で明らかになった。キャンペーンは2025年9月から始まり、2026年1〜4月に急拡大した。標的はウクライナ政府・軍・防衛インフラのほか、NATO加盟国であるポーランド・チェコ・ルーマニア・スロバキア・スロベニア・トルコの鉄道・海運・防衛サプライチェーンに及ぶ。

PRISMEXが注目される理由は、画像ファイルにマルウェアのペイロードを隠すステガノグラフィCOMハイジャックによる持続的な潜伏正規クラウドサービスをC2(コマンド&コントロール)サーバーとして悪用という3つの高度な回避技術を組み合わせている点にある。

何が起きたのか

攻撃のタイムラインと標的

時期出来事
2025年9月〜PRISMEXキャンペーン開始(推定)。インフラの準備が確認される
2026年1月12日CVE-2026-21509の公開予定日の2週間前にAPT28がインフラを準備完了。ゼロデイの事前入手が示唆される
2026年1月末CVE-2026-21509(Microsoft Officeの脆弱性)が公開。APT28が即日悪用開始
2026年4月The Hacker NewsがAPT28のPRISMEX詳細報告を公開。Trend Microが技術分析を公表

なぜ防衛サプライチェーンを狙うのか

APT28の主目的は情報収集(スパイ活動)だが、今回の標的選定には戦略的な意図が透けて見える。ウクライナへの弾薬補給に関わるスロバキア・チェコの調達担当組織、ポーランドの鉄道輸送、ルーマニア・スロベニア・トルコの海運・交通インフラ——これらはいずれもウクライナへの軍事支援ロジスティクスの中継拠点である。ドローン在庫リストに関するおとり文書が使われた事実も、この推論を支持する。APT28は単に情報を盗むだけでなく、将来のサボタージュ(妨害活動)に向けた足がかりを構築している可能性がある。実際、PRISMEXにはワイパー(データ消去)コマンドの実行機能も含まれており、スパイ活動と破壊活動の両方に使える複合ツールとなっている。

技術的な解説

CVE-2026-21509の悪用と初期侵入

APT28は標的型フィッシングメール(スピアフィッシング)にMicrosoft Officeの脆弱性CVE-2026-21509を悪用した細工済み文書を添付して送付する。この脆弱性は、細工されたOfficeファイルを開くだけで悪意ある.LNKファイルが取得・実行される。さらにCVE-2026-21513(Windowsのセキュリティ機能バイパス脆弱性)と連鎖させることで、セキュリティ警告なしにペイロードが実行される。

注目すべきは、APT28がCVE-2026-21509の公開予定日の2週間前から攻撃インフラを準備していた点である。これはAPT28がゼロデイ(パッチ公開前の脆弱性)として事前に入手していた可能性を強く示唆する。国家支援グループが脆弱性情報を先行入手するルートとしては、ゼロデイブローカーからの購入、他の攻撃者から奪取、あるいは自前での発見がある。

PRISMEXの核心技術①: ステガノグラフィ

PRISMEXという名称は、その最大の特徴であるステガノグラフィ(steganography)に由来する。ステガノグラフィとは、デジタル画像・音声・動画ファイルの中に、人間の目には見えない形でデータを隠す技術である。

具体的には、PrismexSheetという悪意あるExcelドロッパーがVBAマクロを実行し、添付された画像ファイルの画素データの中に埋め込まれたペイロードを抽出・実行する。セキュリティ製品は通常、実行ファイルや既知のマルウェアシグネチャを検出するが、画像ファイルに隠されたペイロードは静的解析では発見しにくい。また、添付ファイルとして画像が来ても「おとり文書(ドローンの在庫リスト等)」を表示するため、ユーザーはマルウェアが実行されたことに気づきにくい。

PRISMEXの核心技術②: COMハイジャックによる永続化

COM(Component Object Model)ハイジャックは、WindowsのCOMオブジェクト登録機構の仕組みを悪用した持続化技術である。Windowsの多くのアプリケーションは起動時にレジストリを参照してCOMオブジェクトを読み込むが、ユーザー権限で書き込める特定のレジストリキーに悪意あるDLLを登録することで、正規アプリケーション(Excelなど)の起動に乗じてマルウェアを実行させることができる。

COMハイジャックの難しい点は、管理者権限を必要とせず、また正規のWindowsコンポーネントが実行するように見えるため、EDRやセキュリティ監視ツールが誤検知を恐れてアラートを出しにくいという点にある。

PRISMEXの核心技術③: クラウドサービスをC2として悪用

マルウェアが組織内に潜伏した後のC2(コマンド&コントロール)通信には、正規のクラウドサービス(OneDrive・SharePoint・Google Drive等とされる)が使われる。これにより、ネットワーク監視でC2通信を検出しようとしても「正規のMicrosoft/Googleサービスへのトラフィック」として見えるため、ブロックが難しく、検知が困難になる。

MiniDoorとOutlookメールスティーラー

PRISMEXキャンペーンでは、標的に応じて2種類のペイロードが使い分けられた。MiniDoorはリモートアクセスツール(RAT)で、バックドアとして継続的なアクセスを確保する。一方、Outlookメールスティーラーは標的のOutlookメールを丸ごと抜き取るもので、外交・軍事・調達に関するメールが窃取対象になる。

日本企業への影響

今回の標的はウクライナ・NATO加盟国であり、日本は直接の標的ではない。しかし以下の点で日本企業も無関係ではない。

  • 防衛関連企業・サプライチェーン: 日本の防衛産業企業や官公庁向け企業は、他の国家系APTグループ(中国系のAPT10等)から以前より狙われており、PRISMEXの技術手法(ステガノグラフィ・COMハイジャック)は他のAPTグループも採用している。今回の事例は「どのような技術が使われるか」の参考情報として重要である。
  • Microsoft Officeの脆弱性悪用: CVE-2026-21509のような「文書を開くだけで感染する」脆弱性は日本企業にも等しく適用される。Officeのパッチ管理は全組織で優先事項にすべきである。
  • 正規クラウドサービスへのC2通信の検出困難: OneDrive・SharePointへの不審な大量アップロードが検知できない組織は、この手法に対して盲点を持っている。
  • ステガノグラフィ対応の未整備: 多くの組織のセキュリティ製品は画像ファイル内の隠しペイロードを検出する能力を持っておらず、PRISMEXのような手法に対して現時点では有効な防御が限られている。

今すぐ確認すべきポイント

Officeの脆弱性管理

  • Microsoft Office の最新パッチが適用されているか確認する(特にCVE-2026-21509・CVE-2026-21513)
  • Office のマクロを既定で無効化し、信頼できる発行元からのマクロのみ実行を許可する設定を確認する
  • Protected View(保護ビュー)が有効になっているか確認する。外部から来たファイルは保護ビューで開かれることを全従業員に周知する

スピアフィッシング対策の強化

  • APT28は標的の職務・組織に関連する件名・内容(ドローン在庫リスト、調達書類等)を使う。業務に関連する添付ファイルでも不審なメールへの注意を継続的に訓練する
  • DMARC・DKIM・SPFを設定し、自組織ドメインのなりすましを防ぐ
  • メールのヘッダー・送信元ドメインを確認する習慣をトレーニングで身につけさせる

クラウドサービスへの異常な通信の監視

  • OneDrive・SharePoint・Google DriveへのDLPルール(データ損失防止)を設定し、大量のデータアップロードをアラートする
  • CASBやクラウドセキュリティツールで、通常とは異なる時間帯・端末からのクラウドサービスアクセスを検知する

COMハイジャックの検出

  • EDRのレジストリ変更監視を有効にし、HKCU\Software\Classes\CLSID配下への不審な書き込みを検知する設定を確認する
  • SysmonでCOMオブジェクト関連のプロセス生成を記録・監視する

参考情報

  • Trend Micro: Pawn Storm Campaign Deploys PRISMEX, Targets Government and Critical Infrastructure Entities
  • The Hacker News: APT28 Deploys PRISMEX Malware in Campaign Targeting Ukraine and NATO Allies
  • SecurityAffairs: Russia-linked APT28 uses PRISMEX to infiltrate Ukraine and allied infrastructure
  • Zscaler ThreatLabz: Operation Neusploit: APT28 Uses CVE-2026-21509
  • SecurityOnline: Steganography & Sabotage: Inside Pawn Storm's PRISMEX Offensive Against NATO Logistics

国家系APTの戦術・技術・手順の体系については MITRE ATT&CK 入門、フィッシング対策の基礎は MFA・TOTP・FIDO2・Passkey の違い も合わせてご覧ください。

Related reading

関連記事

Security11
TeamPCPがOSSからAWSへ — セキュリティツール汚染で実現するクラウド鍵の大量窃取2026年3〜5月に発覚したTeamPCPによるサプライチェーン攻撃。Trivy・KICS・LiteLLMなどDevSecOpsツールに悪性コードを注入し、AWSアクセスキー・Kubernetesトークン・GitHub PATなどを自動収集してクラウド環境への二次侵害へ連鎖した攻撃の全体像と対策を解説します。
Security10
Fogランサムウェアが「拡散すれば無料復号」の前代未聞の要求 — VPN侵害とLNKフィッシングの実態2026年に100件超の被害を出したFogランサムウェアが「マルウェアを他者に拡散すれば身代金を免除する」という前代未聞の手口を採用。VPNクレデンシャル悪用・BYOVDによるEDR無効化・二重恐喝の仕組み、組織が今すぐすべき対策を解説します。
Security9
Foxconn北米工場がNitrogenランサムウェアの標的に — Apple・Nvidia設計書8TB流出か2026年5月にFoxconnの北米工場がNitrogenランサムウェアに侵害され、8TB超のファイルが盗まれた事案を解説。Nitrogen の技術的特徴、EDR無効化手法、身代金を払っても復号できない欠陥、製造業サプライチェーンへの教訓を整理します。
Security9
DAEMON Tools公式インストーラに1ヶ月バックドア — 正規署名済みサプライチェーン攻撃の全貌2026年4〜5月に仮想ドライブソフト「DAEMON Tools」の公式サイトから正規署名付きの悪性インストーラが配布されたサプライチェーン攻撃を解説。Kasperskyが発見した中国系攻撃者のバックドア挙動、製造業・政府機関への標的型ペイロード、対処法を整理します。
Learn の記事一覧へ戻る