Excelの古い脆弱性、XWormマルウェア配布に悪用される（CVE-2018-0802）

yab

2026.02.24

Excelの脆弱性を悪用してXWorm 7.2をJPEGファイルに隠蔽、PCをハイジャック（CVE-2018-0802）

HackRead – February 23, 2026

FortiGuard Labsは、脅威アクターがビジネスメールを装ってXWormを配信していると最近の調査で警告した。XWormはリモートアクセス型トロイの木馬（RAT）で、これを利用した攻撃者はWindowsシステムを完全に乗っ取ることができるとみられる。XWorm自体は2022年から存在しているものの、2025年末から2026年初頭にかけてTelegramマーケットプレイスで販売されている最新バージョン（XWorm 7.2）は更なる進化を遂げている。

XWormはモジュール式を採用しているため、50種類以上のプラグインが追加できるとのこと。Wi-Fiキーやパスワード、ブラウザCookieを含むあらゆる情報を盗むことができ、Webカメラやキー入力も監視可能。さらに、ランサムウェア機能やDDoS攻撃機能も組み込まれている。XWormはシステムレジストリの内部に仕掛けられるため、削除が非常に困難になると研究者は指摘している。

攻撃者はソーシャルエンジニアリングを駆使し、ビジネスの問い合わせや注文書などを装ったメールを送信。添付されたExcelファイルはCVE-2018-0802を悪用して隠しスクリプト（HTAファイル）を実行し、PowerShellを介してJPEG画像をダウンロードする。この画像内のマーカー「BaseStart」から「BaseEnd」の間にマルウェアが隠されている。攻撃では「プロセスホローイング」が利用され、マルウェアが正規のWindowsプログラム（Msbuild.exe）を起動してからすぐに一時停止して内部コードを消去し、コードをXWormに置き換える。このため、アンチウイルスによる検知を回避することが可能になる。その後、マルウェアは6000番ポートとAES暗号化を使用してberlin101[.]comの制御サーバーに接続し、盗んだデータをロックして隠蔽する。

これらの手法は新しいものではないものの効果的であるため、ソフトウェアを常に最新の状態に保ち、予期せぬ添付ファイルに注意することが求められる。

ランサムウェア攻撃の9割がファイアウォールを侵害　Barracudaが報告

SC Media – February 20, 2026

「Barracuda Managed XDR Global Threat Report」によると、2025年に発生したランサムウェアインシデントの90％が、侵害されたファイアウォールインスタンスに由来するものであったとのこと。

このレポートでは2025年に発生したITイベント2兆件以上とセキュリティアラート60万件が分析されており、既知の脆弱性や侵害されたアカウントを介してファイアウォールが悪用されていることが明らかになった。検出された脆弱性のうち1割にはエクスプロイトがすでに存在するため、攻撃者は悪用しやすい脆弱性を狙う傾向があると考えられている。悪用件数が最も多かったのは13年前から存在するCVE-2013-2566で、レガシーシステムに対する攻撃に用いられている模様。

このような分析は別の調査結果とも一致する。例えば、Sophosの調査では、ネットワークエッジデバイス（ルータ・VPN・ファイアウォールなど）が初期侵害ポイントとして増加を続け、確認された侵害全体の約30％を占めていることが示されている。

2025年には、SSL-VPNが有効なSonicWallファイアウォールアプライアンスが複数世代にわたって脆弱（CVE-2024-40766）であり、Akiraランサムウェアグループの標的になっていたことが確認されている。また、Searchlight Cyberが公開した「Ransomware’s Record Year: Tracking a Volatile Landscape in H2 2025」によると、活動的なランサムウェアグループの数は更なる増加を続けており、被害者の増加率は2024年から倍増しているという。