Fancy Bear、Windows「COMハイジャック」で潜伏|画像ステガノグラフィの新手口とは

いつも何気なく開いている一枚の画像。そのピクセルの奥に、目には見えないプログラムが一ビットずつ縫い込まれているとしたら――。ロシアとつながりがあるとされるハッカー集団が、まさにその手口で政府機関の奥深くへ忍び込んでいたことが明らかになりました。使われたのは、特別な未知の脆弱性でも、派手なウイルスでもありません。見慣れたアイコン画像と、Windowsが毎日おこなっている正規の動作、そして誰もが使うクラウドサービス。すべて「安全なもの」の顔をした部品ばかりです。攻撃はディスクに痕跡をほとんど残さず、ウイルス対策ソフトの多くがそれを見逃してしまいます。なぜ、ありふれた画像がここまで危険な運び屋になれたのか。その仕組みを、順を追ってほどいていきましょう。


2026年7月8日、セキュリティ企業360が特定したハッキンググループAPT-C-20(別名APT28、Fancy Bear)による攻撃キャンペーンが報じられた。360はこのキャンペーンをCyber Security Newsにレポートとして共有している。攻撃は東欧の政府に関連する防衛関連ファイルを装ったメール添付のWord文書readme.docm(469バイト)から始まる。マクロが有効化されると、DLLのdnxstore.dllとPNG画像EdgeLogo.pngがProgramData内に書き込まれる。

COMハイジャックによりWindows Explorerが悪意あるDLLを読み込み、DLLはLSBステガノグラフィで画像内に隠された暗号化シェルコードを取り出し、メモリ上で実行する。このシェルコードはC#製バックドアPublish.exeをリフレクティブにロードする。バックドアはクラウドストレージサービスFilen.ioを介して通信し、複数のゲートウェイを使用する。標的は政府機関や外交機関である。

From: 文献リンクAPT-C-20 Hackers Hide Shellcode in PNG Images to Launch Fileless C# Backdoor

【編集部解説】

なぜinnovaTopiaが今、このニュースを取り上げるのか。それは、この攻撃が「画像は安全」「マルウェアはファイルとして残る」という私たちの素朴な前提を、静かに、しかし根底から突き崩しているからです。攻撃の主役は、見慣れたEdgeアイコンにそっくりな一枚のPNGです。その画像のピクセルの中に、暗号化されたコードが縫い込まれていました。

まず技術的な核心を、日本の読者向けに噛み砕いておきます。今回使われた隠蔽手法は「LSB(最下位ビット)ステガノグラフィ」と呼ばれます。デジタル画像の各ピクセルは、赤・緑・青などの色の濃さを数値で持っています。その数値の「いちばん末尾のビット」を書き換えても、人間の目には色の違いがまず分かりません。攻撃者はこの見えない余白に、コードを一ビットずつ埋め込んでいくわけです。画像は正常に表示され、ファイルサイズも不自然に増えにくい。だからこそ厄介なのです。

もう一つの鍵が「ファイルレス」という考え方です。従来のアンチウイルスは、ディスク上のファイルを調べて「これは危険なプログラムだ」と見分けてきました。ところが今回の最終的なバックドア(C#製の「Publish.exe」)は、実行ファイルとしてディスクに書き込まれることなく、メモリ上だけで展開されます。監視カメラが玄関ばかり見張っている間に、侵入者は壁のなかを移動していた、というイメージが近いでしょう。

そして三つ目が「COMハイジャック」です。Windowsには、Explorerなどが起動時に自動で呼び出す部品(COMオブジェクト)が数多く登録されています。攻撃者はレジストリの登録先を悪意あるDLLにすり替え、Windows自身の正規の動作に便乗して自分のコードを読み込ませます。GBHackersの報道によれば、乗っ取られた登録先の識別子(CLSID)まで特定されており、explorer.exeという信頼されたプロセスの内側で動くことで、痕跡の追跡を難しくしていました。攻撃者が「新しい侵入口をこじ開ける」のではなく「家主に扉を開けさせる」構図です。

ここで、innovaTopiaとして一点、読者に注意を促したい文脈があります。元記事は今回の攻撃をAPT-C-20(別名APT28、Fancy Bear)による「新たなキャンペーン」として、360のレポートを根拠に報じています。ただし、その中核となる特徴──防衛省をかたる囮文書、PNGへのLSBステガノグラフィ、COMハイジャック、explorer.exeへの便乗、そしてクラウドストレージFilen.ioを悪用した通信──は、2026年初頭からZscaler(「Operation Neusploit」)、トレリックス、トレンドマイクロ(「PRISMEX」)など複数のベンダーが継続的に分析・公表してきた一連の活動と、極めてよく符合します。さらにさかのぼれば、Sekoiaは2025年時点で関連する活動を報告しており、前史はより長いとみられます。つまりこれは「突然現れた新種」というより、長きにわたって観測されてきたAPT28の手口の系譜に連なるものと捉えるのが公平でしょう。速報の刺激だけで受け取らず、大きな流れの一部として読むことをおすすめします。

技術面でも、一点補足しておきます。元記事は「マクロを有効化すると囮文書が開き、感染が始まる」という古典的なマクロ経由の経路を描いています。一方、ZscalerやトレリックスやCERT-UAが追った同系統のキャンペーンでは、Microsoft Officeの脆弱性CVE-2026-21509(セキュリティ機能バイパスの脆弱性)が悪用され、マクロを使わずDLL経由で感染が進む亜種も報告されています。なお、360が報じた今回の事例(マクロ経由・dnxstore.dll)と、Zscalerやトレリックスが追った脆弱性経由の事例(DLL経由・EhStoreShell.dll)は、投下されるファイル名や初期侵入の入口が異なる別個のキャンペーンです。しかし、画像ステガノグラフィ、COMハイジャック、Filen.io悪用という中核設計を共有している点で、同じ「設計図」から派生した兄弟のような関係にあります。攻撃者が入口を柔軟に差し替えつつ、中核の思想を保ち続ける──ここに、このグループの成熟度が表れています。

では、この一件は何を意味するのでしょうか。影響範囲は、第一義的には政府機関や外交・防衛関連の組織、とりわけ東欧やウクライナ、NATO加盟国です。しかし、私たちが本当に注視すべきなのは、使われている「部品」がいずれも汎用的だという点です。ステガノグラフィも、ファイルレス実行も、正規クラウドサービスの悪用も、特別な未知の脆弱性を必要としません。国家支援型グループが磨いた手口は、時を経て金銭目的のサイバー犯罪へと降りてくる傾向があります。今日の「遠い国での出来事」は、明日、私たちの足元で起こる標的型攻撃の前触れになりえます。

見過ごせないのが、DropboxやFilen.ioといった正規のクラウドサービスが「隠れ蓑」として使われている構図です。悪意ある通信が、社員が日常的に使うクラウドへの正常な通信に紛れ込むため、URLやドメインをブロックする従来型の防御が効きにくい。これは、私たちが利便性のために信頼を寄せてきたインフラそのものが、攻撃面に転じうるという、技術と社会の緊張関係を映しています。

一方で、この事案には前向きに読める側面もあります。今回の攻撃を解き明かしたのは、360をはじめとする世界中の脅威インテリジェンス企業の地道な追跡でした。ファイルスキャンでは捉えられない攻撃も、「explorer.exeが見慣れないクラウドAPIと通信し始めた」といった挙動の異常として検知できます。防御の重心が「既知の悪いファイルを弾く」から「正常からの逸脱を見抜く」へと移りつつあり、EDRやメモリフォレンジック、クラウドの通信監視といった技術の価値が、まさにこうした事例によって示されているのです。

規制と制度への含意も小さくありません。正規クラウドがC2に転用される事態は、クラウド事業者に対する不正利用検知の責務や、国境を越えた脅威情報の共有体制に、あらためて課題を突きつけます。ステガノグラフィのように「悪用もできる技術」をどう扱うかという古くて新しい問いも、生成AIによる偽装コンテンツ生成が容易になった時代に、より切実さを増していくはずです。

長期的な視座で捉えるなら、今回の一件は、サイバー攻防が「モノ(ファイル)を見つける戦い」から「フルマイ(挙動)を読む戦い」へと移りつつあることを象徴する一枚のスナップショットです。攻撃者は正規の部品を組み合わせ、正規のインフラに溶け込み、ディスクに何も残さない方向へ進化を続けています。「Tech for Human Evolution」を掲げる私たちにとって、テクノロジーの進化が防御と攻撃の双方を同時に加速させるという現実を直視することは、避けて通れません。一枚の画像に潜んだコードは、未来の防御が「疑う目」ではなく「見抜く知性」を要求していることを、静かに告げているように思えます。

【関連記事】

APT28がSignalチャット悪用でBEARDSHELLマルウェア配信、ウクライナ政府機関を標的
マクロ付きWord文書がDLLとPNG画像をドロップし、画像内のシェルコードからCOVENANTを起動する、今回と酷似した過去キャンペーンの解説。

APT28(Fancy Bear)が再び動いた—世界120か国を標的にしたロシアGRUの静かな侵略
同じ設計思想を持つマルウェア「Prismex」に言及。APT28の別キャンペーンを扱い、今回の記事と地続きで読める一本。

StealCとClickFix:偽CAPTCHAから始まる多段階マルウェア攻撃の全貌
ファイルレス設計とリフレクティブローディング、挙動ベース検知の重要性という、今回の解説の核と重なるテーマを扱う。

【編集部後記】

この記事を書きながら、ずっと頭を離れなかったのは「信頼」という言葉でした。画像は安全なもの、Windowsの標準動作は正しいもの、いつものクラウドはいつものクラウド――そう思えるからこそ私たちは日々の作業を止めずにいられます。今回の攻撃が巧妙だったのは、脆弱性を突いたからではなく、その「止めずにいられる感覚」そのものを利用した点にありました。疑わなくていいはずのものだけで、侵入経路が組み上げられていたわけです。

正直に言えば、これは少し不気味な話です。守る側が「怪しいものを弾く」という発想に立つ限り、怪しく見えないものだけで組まれた攻撃には手が届きません。だからこそ、防御の重心が「これは悪いものか」から「いつもと違う動きか」へ移りつつあるという流れは、理屈としてはよく分かります。とはいえ、自分のパソコンやスマホで、その「いつもと違う」を一人で見張り続けるのは現実的ではないでしょう。私も同じで、完璧に見抜ける自信はありません。

ただ、無力感で終わらせたい話でもないと思っています。仕組みを知っておくだけで、「見覚えのない添付ファイルのマクロは、とりあえず有効化しない」といった、ごく小さな一歩は今日から踏み出せます。それは派手な対策ではありませんが、今回の攻撃がまさにその一歩の油断から始まっていたことを思えば、決して軽いものではありません。

そしてもう一つ。今日この瞬間、東欧の政府を狙っているこの手口は、部品がどれも汎用的であるがゆえに、時間をかけて姿を変え、いずれ私たちの身近なところへ降りてくる可能性があります。遠い国のニュースとして読み流すか、少し先の自分たちの話として受け止めるか。その受け取り方の違いが、たぶん一番大きな分かれ道なのだと思います。この記事が、後者を選ぶための小さなきっかけになれたら嬉しいです。


【用語解説】

APT-C-20 / APT28 / Fancy Bear
ロシアの軍参謀本部情報総局(GRU)に紐づくとされる国家支援型のハッキンググループを指す複数の呼称だ。政府・軍・外交機関を狙ったサイバースパイ活動で知られ、調査企業ごとに異なる名前で追跡されている。

シェルコード
攻撃者が標的のコンピューター上で実行させる、ごく小さな機械語のプログラム片を指す。単体では目立たず、別のコードを呼び込む起爆装置のように働く。

ファイルレス(マルウェア)
実行ファイルをディスクに保存せず、コンピューターのメモリ上だけで動作する攻撃手法を指す。ファイルを調べる従来型のアンチウイルスでは痕跡を捉えにくい。

LSB(最下位ビット)ステガノグラフィ
画像の各ピクセルが持つ色数値の末尾ビットを書き換え、そこにデータを隠す技法だ。見た目やファイルサイズがほとんど変わらないため、隠されたコードに気づきにくい。

COMハイジャック
Windowsが起動時に自動で呼び出す部品(COMオブジェクト)の登録先を、レジストリ上で悪意あるプログラムにすり替える手法を指す。OS自身の正規動作に便乗して攻撃コードを実行させる。

リフレクティブ・ローディング
プログラムをディスクに書き出さず、メモリ内で直接展開・実行する読み込み方式だ。ファイルレス攻撃の中核をなす技術である。

C2(指令統制/Command and Control)
攻撃者が感染端末へ指令を送り、盗んだ情報を受け取るための通信基盤を指す。今回はこの役割に正規のクラウドサービスが悪用された。

マクロ
Wordなどの文書に埋め込める自動処理プログラムを指す。業務効率化に使われる一方、悪意あるコードの実行手段として長年悪用されてきた。

CVE-2026-21509
2026年初頭に公表されたMicrosoft Officeの脆弱性の識別番号だ。種別はセキュリティ機能バイパスの脆弱性で、同系統のキャンペーンでは、この欠陥を悪用してマクロを介さず感染させる亜種も報告されている。

Covenant / Grunt
本来はセキュリティ検証(レッドチーム演習)向けに公開されているオープンソースのC2フレームワークを指す。「Grunt」はその実装端末(インプラント)の呼称で、攻撃者に転用される事例が相次いでいる。

【参考リンク】

Filen(外部)
ゼロ知識・エンドツーエンド暗号化を特徴とするドイツ拠点のクラウドストレージ。今回C2通信に悪用された正規サービス。

Qihoo 360(外部)
本件を分析・公表した中国のインターネットセキュリティ企業。脅威インテリジェンス調査やAPT追跡で知られる。

Microsoft(外部)
攻撃の起点のWordや脆弱性CVE-2026-21509を含むOffice、乗っ取り対象のWindowsを提供する企業。

Dropbox(外部)
攻撃の初期段階でネットワーク接続確認に使われた大手クラウドストレージサービス。

Zscaler ThreatLabz(外部)
同系統キャンペーンを「Operation Neusploit」として分析・公表したクラウドセキュリティ企業の調査ブログ。

Trellix(外部)
CVE-2026-21509悪用を含むAPT28の一連の活動を詳細に分析したセキュリティ企業の研究ブログ。

【参考記事】

Fancy Bear Uses LSB Steganography and Reflective Loading to Run C# Remote-Control Trojan(GBHackers)(外部)
360の分析を基に、PBKDF2でのAES-256鍵導出やCLSID、Filen.ioの2ゲートウェイなど技術的詳細を具体的に記述している。

Operation Neusploit: APT28 Uses CVE-2026-21509(Zscaler ThreatLabz)(外部)
1月26日の緊急更新公開と1月29日の悪用確認など、同系統キャンペーンを高い確度でAPT28に帰属させた一次分析。

APT28’s Stealthy Multi-Stage Campaign Leveraging CVE-2026-21509 and Cloud C2 Infrastructure(Trellix)(外部)
72時間で東欧9カ国へ29通、標的比率など攻撃規模を数値で示し、EhStoreShell.dllなど経路の差異も確認できる分析。

APT28 Uses Microsoft Office CVE-2026-21509 in Espionage-Focused Malware Attacks(The Hacker News)(外部)
CERT-UAが警告した60超の標的アドレスや囮文書作成日など、複数機関の報告を突き合わせた報道。

Steganography & Sabotage: Inside Pawn Storm’s PRISMEX Offensive Against NATO Logistics(SecurityOnline)(外部)
Trend Microの「PRISMEX」分析。パッチ公開時点で11日間の実環境悪用など共通設計を裏付ける。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。