「画像は安全」の常識が崩壊――Fancy Bearが仕掛ける“見えない”ファイルレス攻撃の手口

By山本 達也

2026年7月12日 #Fancy Bear
Fancy Bear、Windows「COMハイジャック」で潜伏|画像ステガノグラフィの新手口とは

Last Updated on 2026年7月13日 by Co-Founder/ Researcher

ロシアの軍情報機関に紐づくとされるハッキング集団APT-C-20(別名APT28、Fancy Bear)が、ありふれたPNG画像の中にシェルコードを隠す巧妙な手口を展開している。

セキュリティ企業360の分析によれば、攻撃は東欧の政府に関連する防衛関連ファイルを装ったメール添付のWord文書「readme.docm」(469バイト)から始まる。マクロが有効化されると、DLL「dnxstore.dll」とPNG画像「EdgeLogo.png」がProgramData内に書き込まれ、COMハイジャックによってWindows Explorerが悪意あるDLLを読み込む。DLLは最下位ビット(LSB)ステガノグラフィで画像内に隠された暗号化シェルコードを取り出してメモリ上で実行し、C#製バックドア「Publish.exe」をリフレクティブにロードする。このバックドアは、典型的な指令統制サーバーではなく、正規のクラウドストレージサービスFilen.ioを複数のゲートウェイ経由で悪用して通信する。標的は政府機関や外交機関であり、ファイルレスな性質ゆえに従来型のアンチウイルスでは検知が難しい。

From: APT-C-20 Hackers Hide Shellcode in PNG Images to Launch Fileless C# Backdoor

【編集部解説】

このニュースを深く掘り下げる理由。それは、本作戦が「画像ファイルは安全である」「マルウェアはファイルとして検知できる」という、私たちが無意識に抱いているセキュリティの前提を根本から覆しているからです。攻撃の主役は、一見すると何の変哲もないEdgeアイコンのPNG画像。しかしそのピクセルの奥深くには、暗号化された悪意あるコードが精巧に埋め込まれていました。

この攻撃を紐解く上で、押さえておくべき3つの技術的キーワードがあります。

  • LSB(最下位ビット)ステガノグラフィデジタル画像を構成する色データの「末尾のわずか1ビット」を書き換えてデータを隠す技法です。人間の目で色の変化を識別することは不可能であり、ファイルサイズも不自然に増加しないため、通常の画像として見過ごされてしまいます。
  • ファイルレス(メモリ内展開)最終的なバックドアである「Publish.exe」は、ハードディスクなどのストレージに一切保存されず、メモリ上だけで展開・実行されます。従来の「ディスク上の不審なファイルをスキャンする」アンチウイルス対策では、文字通り“影”すら捉えられません。
  • COMハイジャックWindowsがシステムの起動や操作に使う正規の仕組み(COMオブジェクト)の登録先を、レジストリ上で悪意あるDLLへとすり替える手法です。今回は「explorer.exe」というOSの核心的な信頼プロセスを乗っ取ることで、防衛網の目をかいくぐり、家主に自ら扉を開けさせるような構図を作り出しています。

ここで、情報の背景にある重要な文脈を補足しておきます。

元記事ではQihoo 360のレポートを基に、これがAPT-C-20(別名APT28、Fancy Bear)による「新たなキャンペーン」であると報じられています。しかし大局的に見れば、この手口は完全な新種というわけではありません。2026年初頭からZscalerの報告にある「Operation Neusploit」や、Trellix、トレンドマイクロの「PRISMEX」といった一連の調査で、PNG画像への隠蔽、COMハイジャック、そしてクラウドストレージ「Filen.io」の悪用といった共通の中核設計がすでに確認されています。さらに遡れば2025年のSekoiaによる報告にもその兆候が見られます。

また、初期侵入の経路においても柔軟なバリエーションが確認されています。今回の事例では古典的な「Wordマクロの有効化」が起点となっていますが、同系統の別キャンペーンではMicrosoft Officeの脆弱性(CVE-2026-21509)を悪用し、マクロを介さずにDLLを読み込ませる亜種も観測されています。つまり攻撃者は、標的に応じて「入口(マクロか脆弱性か)」を巧みに変えながらも、画像ステガノグラフィとクラウドC2という共通の強力な「設計図」を使い回しているのです。ここに、この国家支援型グループの高度な成熟度が現れています。


この事案が私たちに突きつける本質的な脅威は、標的となった東欧やNATO加盟国といった「遠い国の話」だけにとどまりません。

最も注視すべきは、使われている技術のすべてが汎用的な部品の組み合わせであるという点です。未知のゼロデイ脆弱性に頼ることなく、OSの正規機能やステガノグラフィ、そして「Filen.io」や「Dropbox」といった誰もが信頼して使う正規のクラウドサービスをインフラとして悪用しています。日常の業務通信に紛れ込むC2通信は、従来のURLブロックやドメイン規制といった境界型防御を無力化します。そして、こうした国家レベルの洗練された手口は、いずれ金銭目的の一般的なサイバー犯罪へと民主化(スケールダウン)されていくのが歴史の常です。

しかし、絶望する必要はありません。今回の巧妙なサイバー攻撃を世界中の脅威インテリジェンス企業が解き明かせたという事実こそが、次世代の防御のあり方を示しています。ファイルそのものを検知できなくても、「信頼されたエクスプローラーが、なぜか見慣れないクラウドAPIと通信を始めている」といった「挙動(ふるまい)の異常」を捉えることで、侵入を検知することは十分に可能です。EDRやメモリフォレンジック、通信ログの動的監視といった技術は、まさにこうした見えない脅威に対抗するために存在します。

サイバーセキュリティの戦場は今、「怪しいモノを見つける戦い」から「正常からの逸脱(ふるまい)を見抜く知性の戦い」へと完全に移行しています。一枚の画像に縫い込まれた見えないコードは、私たちがテクノロジーの進化とどう向き合い、いかにして「疑う目」を「見抜く知性」へとアップデートしていくべきかを、静かに問いかけているのです。

【用語解説】

APT-C-20 / APT28 / Fancy Bear
ロシアの軍参謀本部情報総局(GRU)に紐づくとされる国家支援型のハッキンググループを指す複数の呼称だ。政府・軍・外交機関を狙ったサイバースパイ活動で知られ、調査企業ごとに異なる名前で追跡されている。

シェルコード
攻撃者が標的のコンピューター上で実行させる、ごく小さな機械語のプログラム片を指す。単体では目立たず、別のコードを呼び込む起爆装置のように働く。

ファイルレス(マルウェア)
実行ファイルをディスクに保存せず、コンピューターのメモリ上だけで動作する攻撃手法を指す。ファイルを調べる従来型のアンチウイルスでは痕跡を捉えにくい。

LSB(最下位ビット)ステガノグラフィ
画像の各ピクセルが持つ色数値の末尾ビットを書き換え、そこにデータを隠す技法だ。見た目やファイルサイズがほとんど変わらないため、隠されたコードに気づきにくい。

COMハイジャック
Windowsが起動時に自動で呼び出す部品(COMオブジェクト)の登録先を、レジストリ上で悪意あるプログラムにすり替える手法を指す。OS自身の正規動作に便乗して攻撃コードを実行させる。

リフレクティブ・ローディング
プログラムをディスクに書き出さず、メモリ内で直接展開・実行する読み込み方式だ。ファイルレス攻撃の中核をなす技術である。

C2(指令統制/Command and Control)
攻撃者が感染端末へ指令を送り、盗んだ情報を受け取るための通信基盤を指す。今回はこの役割に正規のクラウドサービスが悪用された。

マクロ
Wordなどの文書に埋め込める自動処理プログラムを指す。業務効率化に使われる一方、悪意あるコードの実行手段として長年悪用されてきた。

CVE-2026-21509
2026年初頭に公表されたMicrosoft Officeの脆弱性の識別番号だ。種別はセキュリティ機能バイパスの脆弱性で、同系統のキャンペーンでは、この欠陥を悪用してマクロを介さず感染させる亜種も報告されている。

Covenant / Grunt
本来はセキュリティ検証(レッドチーム演習)向けに公開されているオープンソースのC2フレームワークを指す。「Grunt」はその実装端末(インプラント)の呼称で、攻撃者に転用される事例が相次いでいる。

【参考リンク】

Filen(外部)
ゼロ知識・エンドツーエンド暗号化を特徴とするドイツ拠点のクラウドストレージ。今回C2通信に悪用された正規サービス。

Qihoo 360(外部)
本件を分析・公表した中国のインターネットセキュリティ企業。脅威インテリジェンス調査やAPT追跡で知られる。

Microsoft(外部)
攻撃の起点のWordや脆弱性CVE-2026-21509を含むOffice、乗っ取り対象のWindowsを提供する企業。

Dropbox(外部)
攻撃の初期段階でネットワーク接続確認に使われた大手クラウドストレージサービス。

Zscaler ThreatLabz(外部)
同系統キャンペーンを「Operation Neusploit」として分析・公表したクラウドセキュリティ企業の調査ブログ。

Trellix(外部)
CVE-2026-21509悪用を含むAPT28の一連の活動を詳細に分析したセキュリティ企業の研究ブログ。

【参考記事】

Fancy Bear Uses LSB Steganography and Reflective Loading to Run C# Remote-Control Trojan(GBHackers)(外部)
360の分析を基に、PBKDF2でのAES-256鍵導出やCLSID、Filen.ioの2ゲートウェイなど技術的詳細を具体的に記述している。

Operation Neusploit: APT28 Uses CVE-2026-21509(Zscaler ThreatLabz)(外部)
1月26日の緊急更新公開と1月29日の悪用確認など、同系統キャンペーンを高い確度でAPT28に帰属させた一次分析。

APT28’s Stealthy Multi-Stage Campaign Leveraging CVE-2026-21509 and Cloud C2 Infrastructure(Trellix)(外部)
72時間で東欧9カ国へ29通、標的比率など攻撃規模を数値で示し、EhStoreShell.dllなど経路の差異も確認できる分析。

APT28 Uses Microsoft Office CVE-2026-21509 in Espionage-Focused Malware Attacks(The Hacker News)(外部)
CERT-UAが警告した60超の標的アドレスや囮文書作成日など、複数機関の報告を突き合わせた報道。

Steganography & Sabotage: Inside Pawn Storm’s PRISMEX Offensive Against NATO Logistics(SecurityOnline)(外部)
Trend Microの「PRISMEX」分析。パッチ公開時点で11日間の実環境悪用など共通設計を裏付ける。

【Crypto Verse関連記事】

本記事のFancy Bear(APT28)による「見えないファイルレス攻撃」の背景をより深く理解するための、Crypto Verseの関連解説記事をご案内します。

サイバーセキュリティ・攻撃手口の並走事案

量子耐性・国家セキュリティ

AI×Web3セキュリティ・自律エージェント動向

AI×身分証・本人性インフラ

アジア圏の直近動向

ステーブルコイン決済インフラ

RWA・トークン化資産

Ripple/XRPL関連

機関投資家・企業戦略

BTC市場動向

日本市場・実需領域

米国規制動向

基盤チェーン解説

決済プラットフォーム動向

【編集部後記】

一枚の画像に、目に見えないコードが縫い込まれている――そう聞いたとき、みなさんはどんな気持ちになったでしょうか。ふだん何気なく開いている添付ファイルや画像が、これほど巧妙に「信頼」を逆手に取られると知ると、少し落ち着かない心地がするかもしれません。

私たちも同じです。だからこそ、こうした手口を「怖いもの」で終わらせず、仕組みとして眺めてみると、防御の視点も自然と見えてきます。もし気になった方は、お使いの環境で「挙動を見る」検知がどう働いているか、一度のぞいてみませんか。

——————–
※本記事は情報提供を目的としており、投資助言ではありません。
 詳細は当サイトの免責事項をご確認ください。
——————–

By山本 達也

『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です