ロシアのサイバー攻撃者が家庭用ルーターを悪用

Microsoft Threat Intelligenceは、Forest Blizzardと呼ばれるロシア政府関連のハッカー集団が、脆弱な家庭や小規模オフィス向けルーターを乗っ取り、世界中の組織に対するインターネットトラフィックの操作と監視を行っていることを明らかにしました。

このキャンペーンは2025年8月から始まり、現在までに200以上の組織と5,000台を超える消費者デバイスが影響を受けていると報告されています。Forest Blizzardは、APT28やStrontiumなどとも呼ばれる高度な国家支援型サイバー脅威集団で、ロシア政府の情報戦略を直接サポートしています。

ルーター乗っ取り手法

攻撃者はまず脆弱なルーターに不正アクセスし、デフォルトのネットワーク設定を変更します。DNS設定を操作することで、侵入したルーターはすべてのインターネットトラフィックリクエストを悪意のあるサーバーへ直接送信するようになります。

この手法により、ロシアの情報機関は未曽有の規模で持続的なネットワーク監視と偵察を行うことができます。ルーターから接続されたデバイス（ノートパソコンやスマートフォンなど）が自動的に攻撃者のインフラを通じてトラフィックをルーティングするため、ユーザーは気づかずに被害に遭います。

アドバサリー・イン・ザ・ミドル攻撃

DNSトラフィックが乗っ取られた後、Forest Blizzardは政府やIT、エネルギー業界の高価値ターゲットに対して選択的にアドバサリー・イン・ザ・ミドル（AiTM）攻撃を実行します。

• 攻撃者はユーザーに無効なセキュリティ証明書を提示し、正当なMicrosoftサービスの偽装版にターゲットエンドポイントを接続させます。

ユーザーがブラウザのセキュリティ警告を無視した場合、攻撃者は暗号化された接続内に隠されている重要なメールやパスワード、クラウドデータを積極的に盗み出すことができます。この初期のルーター乗っ取りは広範囲ですが、その後のAiTM攻撃は特定の外国情報優先事項に対して高度なターゲティングが行われます。

組織への対策

これらの脅威に対抗するためには、組織は直ちに未管理の家庭用ルーターがリモートワーカーにとって重要なセキュリティ脆弱性であることを認識し、ゼロトラストDNSポリシーを全社的なノートパソコンで強制的に実装することが必要です。

• 企業は消費者向けルーターデバイスを使用しないようにすることも推奨されます。

また、組織は統合されたアイデンティティ管理プラットフォームを完全に統合し、すべてのユーザーアカウントを慎重に同期することで安全なデジタル境界を維持する必要があります。マルチファクタ認証とスマートなアクセスポリシーを使用してフィッシング対策も強化することが重要です。

セキュリティプラットフォームの活用

組織はMicrosoft Defenderなどの先進的なセキュリティプラットフォームを活用し、エンドポイントデバイス上の異常なDNS変更を探知するためのプロアクティブな調査を行うことができます。

• DNS設定をリセットすることで直ちにトラフィック転送を停止できますが、攻撃者が既にユーザー資格情報を盗んだ場合、これだけでは組織を保護できません。

セキュリティチームは詳細なネットワークログと継続的なアクセス評価プロトコルを維持し、ポストコンフロム行為を迅速に検出・中和する必要があります。

---

元記事: https://gbhackers.com/russian-threat-actors-abuse-home-routers/