Last Updated on 2026年7月13日 by Co-Founder/ Researcher
ロシアの軍情報機関に紐づくとされるハッキング集団APT-C-20(別名APT28、Fancy Bear)が、ありふれたPNG画像の中にシェルコードを隠す巧妙な手口を展開している。
セキュリティ企業360の分析によれば、攻撃は東欧の政府に関連する防衛関連ファイルを装ったメール添付のWord文書「readme.docm」(469バイト)から始まる。マクロが有効化されると、DLL「dnxstore.dll」とPNG画像「EdgeLogo.png」がProgramData内に書き込まれ、COMハイジャックによってWindows Explorerが悪意あるDLLを読み込む。DLLは最下位ビット(LSB)ステガノグラフィで画像内に隠された暗号化シェルコードを取り出してメモリ上で実行し、C#製バックドア「Publish.exe」をリフレクティブにロードする。このバックドアは、典型的な指令統制サーバーではなく、正規のクラウドストレージサービスFilen.ioを複数のゲートウェイ経由で悪用して通信する。標的は政府機関や外交機関であり、ファイルレスな性質ゆえに従来型のアンチウイルスでは検知が難しい。
From: APT-C-20 Hackers Hide Shellcode in PNG Images to Launch Fileless C# Backdoor
【編集部解説】
このニュースを深く掘り下げる理由。それは、本作戦が「画像ファイルは安全である」「マルウェアはファイルとして検知できる」という、私たちが無意識に抱いているセキュリティの前提を根本から覆しているからです。攻撃の主役は、一見すると何の変哲もないEdgeアイコンのPNG画像。しかしそのピクセルの奥深くには、暗号化された悪意あるコードが精巧に埋め込まれていました。
この攻撃を紐解く上で、押さえておくべき3つの技術的キーワードがあります。
- LSB(最下位ビット)ステガノグラフィデジタル画像を構成する色データの「末尾のわずか1ビット」を書き換えてデータを隠す技法です。人間の目で色の変化を識別することは不可能であり、ファイルサイズも不自然に増加しないため、通常の画像として見過ごされてしまいます。
- ファイルレス(メモリ内展開)最終的なバックドアである「Publish.exe」は、ハードディスクなどのストレージに一切保存されず、メモリ上だけで展開・実行されます。従来の「ディスク上の不審なファイルをスキャンする」アンチウイルス対策では、文字通り“影”すら捉えられません。
- COMハイジャックWindowsがシステムの起動や操作に使う正規の仕組み(COMオブジェクト)の登録先を、レジストリ上で悪意あるDLLへとすり替える手法です。今回は「explorer.exe」というOSの核心的な信頼プロセスを乗っ取ることで、防衛網の目をかいくぐり、家主に自ら扉を開けさせるような構図を作り出しています。
ここで、情報の背景にある重要な文脈を補足しておきます。
元記事ではQihoo 360のレポートを基に、これがAPT-C-20(別名APT28、Fancy Bear)による「新たなキャンペーン」であると報じられています。しかし大局的に見れば、この手口は完全な新種というわけではありません。2026年初頭からZscalerの報告にある「Operation Neusploit」や、Trellix、トレンドマイクロの「PRISMEX」といった一連の調査で、PNG画像への隠蔽、COMハイジャック、そしてクラウドストレージ「Filen.io」の悪用といった共通の中核設計がすでに確認されています。さらに遡れば2025年のSekoiaによる報告にもその兆候が見られます。
また、初期侵入の経路においても柔軟なバリエーションが確認されています。今回の事例では古典的な「Wordマクロの有効化」が起点となっていますが、同系統の別キャンペーンではMicrosoft Officeの脆弱性(CVE-2026-21509)を悪用し、マクロを介さずにDLLを読み込ませる亜種も観測されています。つまり攻撃者は、標的に応じて「入口(マクロか脆弱性か)」を巧みに変えながらも、画像ステガノグラフィとクラウドC2という共通の強力な「設計図」を使い回しているのです。ここに、この国家支援型グループの高度な成熟度が現れています。
この事案が私たちに突きつける本質的な脅威は、標的となった東欧やNATO加盟国といった「遠い国の話」だけにとどまりません。
最も注視すべきは、使われている技術のすべてが汎用的な部品の組み合わせであるという点です。未知のゼロデイ脆弱性に頼ることなく、OSの正規機能やステガノグラフィ、そして「Filen.io」や「Dropbox」といった誰もが信頼して使う正規のクラウドサービスをインフラとして悪用しています。日常の業務通信に紛れ込むC2通信は、従来のURLブロックやドメイン規制といった境界型防御を無力化します。そして、こうした国家レベルの洗練された手口は、いずれ金銭目的の一般的なサイバー犯罪へと民主化(スケールダウン)されていくのが歴史の常です。
しかし、絶望する必要はありません。今回の巧妙なサイバー攻撃を世界中の脅威インテリジェンス企業が解き明かせたという事実こそが、次世代の防御のあり方を示しています。ファイルそのものを検知できなくても、「信頼されたエクスプローラーが、なぜか見慣れないクラウドAPIと通信を始めている」といった「挙動(ふるまい)の異常」を捉えることで、侵入を検知することは十分に可能です。EDRやメモリフォレンジック、通信ログの動的監視といった技術は、まさにこうした見えない脅威に対抗するために存在します。
サイバーセキュリティの戦場は今、「怪しいモノを見つける戦い」から「正常からの逸脱(ふるまい)を見抜く知性の戦い」へと完全に移行しています。一枚の画像に縫い込まれた見えないコードは、私たちがテクノロジーの進化とどう向き合い、いかにして「疑う目」を「見抜く知性」へとアップデートしていくべきかを、静かに問いかけているのです。
【用語解説】
APT-C-20 / APT28 / Fancy Bear
ロシアの軍参謀本部情報総局(GRU)に紐づくとされる国家支援型のハッキンググループを指す複数の呼称だ。政府・軍・外交機関を狙ったサイバースパイ活動で知られ、調査企業ごとに異なる名前で追跡されている。
シェルコード
攻撃者が標的のコンピューター上で実行させる、ごく小さな機械語のプログラム片を指す。単体では目立たず、別のコードを呼び込む起爆装置のように働く。
ファイルレス(マルウェア)
実行ファイルをディスクに保存せず、コンピューターのメモリ上だけで動作する攻撃手法を指す。ファイルを調べる従来型のアンチウイルスでは痕跡を捉えにくい。
LSB(最下位ビット)ステガノグラフィ
画像の各ピクセルが持つ色数値の末尾ビットを書き換え、そこにデータを隠す技法だ。見た目やファイルサイズがほとんど変わらないため、隠されたコードに気づきにくい。
COMハイジャック
Windowsが起動時に自動で呼び出す部品(COMオブジェクト)の登録先を、レジストリ上で悪意あるプログラムにすり替える手法を指す。OS自身の正規動作に便乗して攻撃コードを実行させる。
リフレクティブ・ローディング
プログラムをディスクに書き出さず、メモリ内で直接展開・実行する読み込み方式だ。ファイルレス攻撃の中核をなす技術である。
C2(指令統制/Command and Control)
攻撃者が感染端末へ指令を送り、盗んだ情報を受け取るための通信基盤を指す。今回はこの役割に正規のクラウドサービスが悪用された。
マクロ
Wordなどの文書に埋め込める自動処理プログラムを指す。業務効率化に使われる一方、悪意あるコードの実行手段として長年悪用されてきた。
CVE-2026-21509
2026年初頭に公表されたMicrosoft Officeの脆弱性の識別番号だ。種別はセキュリティ機能バイパスの脆弱性で、同系統のキャンペーンでは、この欠陥を悪用してマクロを介さず感染させる亜種も報告されている。
Covenant / Grunt
本来はセキュリティ検証(レッドチーム演習)向けに公開されているオープンソースのC2フレームワークを指す。「Grunt」はその実装端末(インプラント)の呼称で、攻撃者に転用される事例が相次いでいる。
【参考リンク】
Filen(外部)
ゼロ知識・エンドツーエンド暗号化を特徴とするドイツ拠点のクラウドストレージ。今回C2通信に悪用された正規サービス。
Qihoo 360(外部)
本件を分析・公表した中国のインターネットセキュリティ企業。脅威インテリジェンス調査やAPT追跡で知られる。
Microsoft(外部)
攻撃の起点のWordや脆弱性CVE-2026-21509を含むOffice、乗っ取り対象のWindowsを提供する企業。
Dropbox(外部)
攻撃の初期段階でネットワーク接続確認に使われた大手クラウドストレージサービス。
Zscaler ThreatLabz(外部)
同系統キャンペーンを「Operation Neusploit」として分析・公表したクラウドセキュリティ企業の調査ブログ。
Trellix(外部)
CVE-2026-21509悪用を含むAPT28の一連の活動を詳細に分析したセキュリティ企業の研究ブログ。
【参考記事】
Fancy Bear Uses LSB Steganography and Reflective Loading to Run C# Remote-Control Trojan(GBHackers)(外部)
360の分析を基に、PBKDF2でのAES-256鍵導出やCLSID、Filen.ioの2ゲートウェイなど技術的詳細を具体的に記述している。
Operation Neusploit: APT28 Uses CVE-2026-21509(Zscaler ThreatLabz)(外部)
1月26日の緊急更新公開と1月29日の悪用確認など、同系統キャンペーンを高い確度でAPT28に帰属させた一次分析。
APT28’s Stealthy Multi-Stage Campaign Leveraging CVE-2026-21509 and Cloud C2 Infrastructure(Trellix)(外部)
72時間で東欧9カ国へ29通、標的比率など攻撃規模を数値で示し、EhStoreShell.dllなど経路の差異も確認できる分析。
APT28 Uses Microsoft Office CVE-2026-21509 in Espionage-Focused Malware Attacks(The Hacker News)(外部)
CERT-UAが警告した60超の標的アドレスや囮文書作成日など、複数機関の報告を突き合わせた報道。
Steganography & Sabotage: Inside Pawn Storm’s PRISMEX Offensive Against NATO Logistics(SecurityOnline)(外部)
Trend Microの「PRISMEX」分析。パッチ公開時点で11日間の実環境悪用など共通設計を裏付ける。
【Crypto Verse関連記事】
本記事のFancy Bear(APT28)による「見えないファイルレス攻撃」の背景をより深く理解するための、Crypto Verseの関連解説記事をご案内します。
サイバーセキュリティ・攻撃手口の並走事案
- Hola Browser にクリプトマイナー混入、Sophos が発見—サプライチェーン侵害の手口とは → 本記事の「正規サービス悪用」構造と共通する、ソフトウェア配信経路の汚染事例。「サプライチェーン」「ステガノグラフィ」両軸での見えない攻撃を理解できます。
- Hinkal約82万ドル流出—プライバシー保護protocolが「証明なし入金」で破られた皮肉 → 本記事の「見えない攻撃」と並ぶ、暗号領域におけるコード層の脆弱性事案。「コード外リスク(本記事)」「コード内リスク(Hinkal)」両軸での攻撃面を理解できます。
- XRP・偽リップル支払いNFT詐欺の手口とは?署名1回で1万5000ドル流出、被害を防ぐ5つの視点 → 本記事の「信頼を逆手に取る」構造と並ぶ、エンドユーザー層のソーシャルエンジニアリング事例。「国家型攻撃」「一般ユーザー詐欺」両軸での防御論点を理解できます。
- アライドアーキテクツ × Nyx Foundation、AIがDeFiの安全を”検算”する時代へ → 本記事の「挙動の異常を捉える」EDR/振る舞い検知動向と並走する、AI×形式検証の実装事例。
- FBI被害113億ドル受け、米議会がクリプト犯罪対策の連邦タスクフォース新設法案を提出 → 本記事のサイバー攻撃動向と並ぶ、米国側の被害者保護動向。
量子耐性・国家セキュリティ
- Ethereum「Lean Ethereum」始動—ブテリンが量子耐性・プライバシー・拡張性を最優先に → 本記事の国家支援型攻撃動向と並ぶ、暗号領域における国家セキュリティ課題への対応動向。「攻撃側の高度化」「防御側の長期構想」を対比して理解できます。
AI×Web3セキュリティ・自律エージェント動向
- OpenAI「GPT-5.6」を限定公開にした理由—命名騒動と米政府の要請 → 本記事の国家×高度AI活用と関連する、AI業界の政府介入動向。「AIが攻撃を高度化」「AIが防御を高度化」両面のデュアルユース論点を理解できます。
- Visa×OpenAIが拓くAIエージェント決済|Visaのステーブルコイン決済は年換算70億ドル規模に → 本記事の「クラウド悪用」動向と並ぶ、AI×決済インフラ動向。
- Ripple、XRPとRLUSDでAIエージェント決済へ参入─USDCが席巻するx402市場に挑む → 本記事のインフラ悪用動向と並ぶ、AI×決済の実装事例。
- Ripple、XRPL「AI Starter Kit」でAIエージェント決済へ──x402対応とGenAI人材募集の狙い → 本記事の「見えない攻撃」動向と並ぶ、AI×開発者エコシステム動向。
- Claude Codeに「Solana AI Kit」登場―Solana開発を一括構築 → 本記事の「挙動の異常を捉える」防御動向と関連する、AI×Web3開発エコシステム動向。
- Cloudflare「Monetization Gateway」―x402・ステーブルコインでリクエストを取引に → 本記事のクラウドサービス悪用動向と並ぶ、CDN×暗号決済インフラの直近動向。
AI×身分証・本人性インフラ
- Worldcoin(WLD)とは?AI時代の「本人性証明」と独自のデジタルIDインフラ構造【2026年版】 → 本記事の「なりすまし攻撃」と関連する、AI時代の本人性証明インフラ動向。
- Worldcoin(WLD)はヘイズなしで価格を保てるか—AI時代の身分証トークンを読む → 本記事の攻撃動向と並ぶ、身分証トークンの市場動向事例。
アジア圏の直近動向
- ZKryptoが挑む韓国初の行政ステーブルコイン、8月始動 Toss・KTも参戦 → 本記事のサイバー攻撃動向と並ぶ、アジア圏でのブロックチェーン活用動向。「攻撃」「制度整備」両軸での国家関与動向を理解できます。
- 韓国、債務救済に暗号資産を組み込み—KAMCO が残高証明書で資産審査、返済能力で減免率を調整へ → 本記事のサイバー攻撃動向と並ぶ、韓国での暗号資産の制度組込動向。
ステーブルコイン決済インフラ
- AllUnity×Zebec、EURAUによる従業員福利厚生・法人決済をStellarで開始─MiCAR準拠ステーブルコインが実用フェーズへ → 本記事のセキュリティ動向と並ぶ、欧州MiCAR準拠ステーブルコイン実用事例。
- Polygon、ステーブルコイン送金で全チェーン首位に—取引件数でSolana・BNB Chainを抜いた「決済レイヤー」戦略 → 本記事の攻撃動向と並ぶ、ステーブルコイン決済インフラ動向。
- JPYSC始動―SBI・Startaleが国内初の信託型円ステーブルコインを発行 → 本記事のセキュリティ動向と並ぶ、日本でのステーブルコイン制度整備動向。
- SBI VCトレード×リップル―「RLUSD」が国内初の「4号電子決済手段」として取扱い開始 → 本記事のセキュリティ動向と並ぶ、日本市場でのステーブルコイン制度整備動向。
- Coinbase、ステーブルコイン決済の課税撤廃を米議会に要請 ― 暗号資産税制改革の行方 → 本記事のセキュリティ動向と並ぶ、米国のステーブルコイン税制動向。
- ステーブルコインとトークン化で家計は軽くなる?米上院公聴会、賛否とCLARITY Actの行方 → 本記事のセキュリティ動向と並ぶ、米国のステーブルコイン議論動向。
- CBETS始動と中国人民銀行のステーブルコイン警戒—デジタル人民元 vs ドルの「通貨OS」争いが本格化 → 本記事の国家間サイバー動向と並ぶ、通貨インフラの国家間競争動向。
- Tether Gold(XAU₮)がLedn上陸、230億ドルの金が暗号資産担保ローンに → 本記事のセキュリティ動向と並ぶ、実物資産(金)トークン化の実装事例。
RWA・トークン化資産
- SpaceX・Solanaが変える株式投資|3つのトークン化商品、その仕組みとリスク → 本記事のセキュリティ動向と並ぶ、株式トークン化の実装事例。
- Moody’s×Solana×AlphaLedger:信用格付けがトークンに直接埋め込まれる時代へ。TIEがメインネット稼働 → 本記事のセキュリティ動向と並ぶ、信用格付けインフラのオンチェーン化動向。
- XRP Ledger vs Ethereum、RWA資本移動説の真相─未検証の15億ドルをどう読むか → 本記事の「数字の読み方」FACT検証アプローチと共通する、RWA資本フロー検証手法。
Ripple/XRPL関連
- RLUSDに利回り活用の道─SOILとXRPL Lending Protocolが拓くXRPLネイティブ融資 → 本記事のオンチェーン領域動向と並ぶ、XRPL上でのオンチェーンレンディング動向。
機関投資家・企業戦略
- Strategy優先株「STRC」急落と、ビットコインの底値サインについて読み解く → 本記事のセキュリティ動向と並ぶ、企業のBTC戦略動向。
- Strategy「mNAV」1割れ、セイラー氏が新規ビットコイン購入を示唆—逆回転するフライホイールの行方 → 本記事のセキュリティ動向と並ぶ、暗号資産市場動向。
- Strategy、マイケル・セイラーの「ドット」投稿が新たなビットコイン購入観測を再燃させる → 本記事のセキュリティ動向と並ぶ、企業のBTC戦略動向。
- Ethereum下落でも買い続ける機関投資家─ロバート・キヨサキ「9万5000ドル」予測再燃の裏側 → 本記事のセキュリティ動向と並ぶ、機関投資家の直近動向。
- Morgan Stanley、ステーキングETF参戦|イーサリアム・ソラナで報酬95%を投資家へ → 本記事のセキュリティ動向と並ぶ、機関投資家のオンチェーン参入動向。
- Robinhood Chainがメインネット始動|Chainlinkが支える新金融 → 本記事のセキュリティ動向と並ぶ、消費者向け金融プラットフォームのオンチェーン化動向。
BTC市場動向
- ビットコイン6万2000ドル割れ、Strategy 32BTC売却が招いた18億ドル清算の連鎖 → 本記事のセキュリティ動向と並ぶ、暗号資産市場全体の動向。
- ビットコインETF、過去最長13日の純流出。約43億ドルが抜けた背景とETFが「限界的な買い手」になった構造変化 → 本記事のセキュリティ動向と並ぶ、機関マネー動向。
- ビットコイン7万ドル回復なるか、スカラムッチ・ノボグラッツが挙げるCLARITY法案・債務・SpaceX → 本記事のセキュリティ動向と並ぶ、市場心理が織り込む期待動向。
日本市場・実需領域
- 大阪府の補助金公募開始|ブロックチェーン・AI金融の実証実験を最大1000万円支援 → 本記事のセキュリティ動向と並ぶ、日本での実証実験支援動向。
- SBI、ビットバンクを467億円で完全子会社化─暗号資産の預かり資産で国内首位へ → 本記事のセキュリティ動向と並ぶ、日本の暗号資産業界統合動向。
- bitFlyer SOL上場の本当の意味─Solanaに集まる日本企業と金融商品取引法改正 → 本記事のセキュリティ動向と並ぶ、日本市場での銘柄追加・制度整備動向。
- HyperLending、日本初HYPE対応の暗号資産レンディング開始 → 本記事のセキュリティ動向と並ぶ、日本市場でのレンディングサービス動向。
- SecondFi始動|「鍵は自分のまま」EMURGOが挑む、暗号資産で使う・貯める・稼ぐ時代 → 本記事のセキュリティ動向と並ぶ、自己管理型サービスの実装事例。
- メタプラネット、Siiibo証券を21億円で買収—ビットコイン連動金融商品「Project Nova」始動 → 本記事のセキュリティ動向と並ぶ、日本企業による金融商品化動向。
- enishがビットコイン全売却、Solana中心の「DAT 2.0」へ転換|運用型トレジャリーの狙い → 本記事のセキュリティ動向と並ぶ、日本企業の運用型トレジャリー動向。
- 日鉄ソリューションズとN.Avenue、円建て暗号資産インデックス報告書を公表 → 本記事のセキュリティ動向と並ぶ、日本市場でのインデックス整備動向。
米国規制動向
- CLARITY Act、Coinbase・Rippleら200社超が上院に採決要求─成立確率60%に低下 → 本記事のセキュリティ動向と並ぶ、米国側の暗号資産規制整備動向。
基盤チェーン解説
- Solanaとは?高速・低コストのブロックチェーンの仕組みと特徴を徹底解説 → 本記事のセキュリティ動向と並ぶ、主要ブロックチェーンの構造解説。
- XRP Ledger(XRPL)とは?分散型ブロックチェーンの仕組みと特徴を徹底解説 → 本記事のセキュリティ動向と並ぶ、機関金融向けブロックチェーンの構造解説。
- Hyperliquidとは?HYPE基盤のレイヤー1ブロックチェーンとオンチェーンCLOBアーキテクチャの完全解剖 → 本記事のセキュリティ動向と並ぶ、レイヤー1ブロックチェーンの構造解説。
決済プラットフォーム動向
- X Money決済とは?イーロン・マスクが描く「総合金融プラットフォーム」の正体 → 本記事のセキュリティ動向と並ぶ、別経路(プラットフォーマー主導)での金融プラットフォーム構想。
【編集部後記】
一枚の画像に、目に見えないコードが縫い込まれている――そう聞いたとき、みなさんはどんな気持ちになったでしょうか。ふだん何気なく開いている添付ファイルや画像が、これほど巧妙に「信頼」を逆手に取られると知ると、少し落ち着かない心地がするかもしれません。
私たちも同じです。だからこそ、こうした手口を「怖いもの」で終わらせず、仕組みとして眺めてみると、防御の視点も自然と見えてきます。もし気になった方は、お使いの環境で「挙動を見る」検知がどう働いているか、一度のぞいてみませんか。
——————–
※本記事は情報提供を目的としており、投資助言ではありません。
詳細は当サイトの免責事項をご確認ください。
——————–

