ロシアGRU、家庭用ルーター1万8000台を乗っ取りOutlook認証情報を窃取
あなたのルーターが、ロシアの諜報活動に使われていたかもしれない。120カ国以上、1万8000台を超える家庭用ルーターが静かに侵害されていた。そして米国当局は、その一部を「遠隔操作で修復する」という異例の措置に踏み切った。
FBIが「Operation Masquerade」で強制介入
ロシア軍参謀本部情報総局(GRU)傘下のハッカー集団APT28が、世界中のTP-LinkおよびMikroTikルーターを侵害し、DNS設定を書き換えてOutlookなどのログイン認証情報を大規模に窃取していたことが明らかになった。
英国国家サイバーセキュリティセンター(NCSC)は4月7日、この攻撃手法の詳細を公表した。同日、米司法省とFBIは「Operation Masquerade」と名付けた作戦により、米国内の侵害されたルーターに対して裁判所の許可を得た上で遠隔修復を実施したと発表した。
GRUのアクターは米国および世界中のルーターを侵害し、それらをハイジャックしてスパイ活動を行った。脅威の規模を考えれば、警告だけでは不十分だった
FBIサイバー部門のブレット・レザーマン副部長はこう述べている。
2年間続いた「見えない盗聴」
攻撃の手口は巧妙だ。APT28はまず、TP-Link WR841Nなどの脆弱性(CVE-2023-50224)を悪用してルーターの認証情報を取得する。次に、そのルーターのDHCP/DNS設定を書き換え、攻撃者が管理するDNSサーバーを指すように変更する。
ルーターに接続されたノートPC、スマートフォン、その他のデバイスは、この設定を自動的に継承する。ユーザーがOutlookにアクセスしようとすると、本物そっくりの偽サイトに誘導され、パスワードやOAuthトークンが盗まれる。NCSCによれば、この活動は2024年から2026年にかけて継続していた。
Microsoftの脅威インテリジェンスチームは、200以上の組織と5000台の消費者向けデバイスがAPT28の悪意あるDNSインフラの影響を受けたことを確認している。ただしMicrosoft自身の資産やサービスは侵害されていないという。
狙われた20機種以上のルーター
NCSCが公表した対象ルーターのリストには、20機種以上のTP-Link製品が含まれている。Archer C5、C7、WDR3500、WDR3600、WDR4300、WR1043ND、MR3420、MR6400(LTEルーター)、そしてWR740N、WR840N、WR841N、WR842N、WR845N、WR941NDの各バリエーションだ。
別のインフラ群では、MikroTikルーターも侵害されていた。NCSCによれば、これらの多くは「ウクライナに所在」しており、ロシアにとって情報価値の高いターゲットだったと推定されている。
標的となったドメインには、autodiscover-s.outlook.com、imap-mail.outlook.com、outlook.live.com、outlook.office.com、outlook.office365.comが含まれる。すべてMicrosoftのメールサービスに関連するものだ。
| ベンダー / カテゴリ | 対象モデル |
|---|---|
| TP-Link Archer | C5、C7 |
| TP-Link WDRシリーズ | WDR3500、WDR3600、WDR4300 |
| TP-Link WRシリーズ | WR740N、WR840N、WR841N、WR842N、WR845N、WR941ND、WR1043ND |
| TP-Link MRシリーズ | MR3420、MR6400(LTE) |
| MikroTik | 機種多数(ウクライナ所在が中心) |
| 悪用された脆弱性 | CVE-2023-50224(WR841Nほか) |
「日和見的」だからこそ危険
NCSCはこの攻撃を「日和見的」と評している。APT28は広範囲のルーターを無差別に侵害し、その後で価値の高いターゲットを選別していくという。
侵害されたルーターの設定を変更しただけでは終わらない。その後、自動化されたフィルタリングでどのDNSリクエストが興味深く、傍受に値するかを判定していた
司法省の発表はこう説明する。
Lumen Technologies傘下のBlack Lotus Labsは、この作戦を「FrostArmada」と命名した。同社の分析によれば、攻撃者は2つの系統に分かれて活動していた。ひとつはボットネットの拡大に専念し、もうひとつは認証情報の収集と傍受を担当する。この分業体制が、規模と精度の両立を可能にしていた。
APT28の過去と現在
APT28は「Fancy Bear」「Forest Blizzard」「STRONTIUM」「Sednit Gang」「Sofacy」など複数の名称で追跡されてきた。NCSCはこのグループを、GRU第85特別サービスセンター(軍事部隊26165)と「ほぼ確実に」同一視している。
過去の活動として、2015年のドイツ連邦議会へのサイバー攻撃、2018年の化学兵器禁止機関(OPCW)への侵入未遂が帰属されている。いずれも国家レベルのターゲットだ。
-2026
しかし今回の攻撃は、一般家庭のルーターを踏み台にしている点で異なる。セキュリティ監視の緩い「エッジデバイス」を足がかりに、企業ネットワークへの侵入を狙う。
これはAPT28がTLS接続に対するAiTM攻撃を支援するためにDNSハイジャックを大規模に使用した初めての事例だ
Microsoftの脅威インテリジェンスチームはこう指摘する。広く使われているネットワーク機器の脆弱性が、国家レベルの攻撃者にどう利用されうるかを示した事例だ。
対策:ファームウェア更新と「疑う目」
NCSCと米当局は、ルーター所有者に以下の対策を推奨している。
サポート終了製品は交換すること。最新のファームウェアにアップデートすること。ルーター設定のDNSサーバーが正規のものか確認すること。リモート管理インターフェースをインターネットに公開しないこと。多要素認証を有効にすること。
FBIはISPを通じて、対象ルーターの所有者に通知を行っている。自分のルーターが侵害されていたか気になる場合は、TP-Linkのダウンロードセンターでファームウェアを確認し、サポート終了製品リストをチェックすることが推奨されている。
家庭用ルーターは「設定して放置」されがちだ。だがそれは、攻撃者にとって最も都合の良い状態でもある。あなたのルーターは今、誰のために働いているだろうか。
参照元
関連記事
- イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告
- 米国サイバー犯罪被害が過去最高208億ドル突破、AIとクリプト詐欺が急増
- AI検索でブランドを売り込む新SEO産業、ゴールドラッシュの内幕
- ChatGPTの「安全な箱」にDNSの穴——データ漏洩脆弱性の全容
- FBI長官の個人メール、イラン系ハッカーが侵害
- VeraCrypt・WireGuard、MSがアカウント停止
- Valveの新機能『SteamGPT』流出、サポートAIか
- ビル・ゲイツ、エプスタイン調査で米議会証言へ──6月10日に非公開聴取
- マスク、OpenAI訴訟を修正──「1ドルも自分の懐には入れない」宣言の裏側
- GmailのGemini統合、Googleが「メールでAIを訓練しない」と改めて表明
