メインコンテンツへスキップ
Alicia Nexus — AI×テックニュースブログ
  1. 記事一覧/

ロシア軍がルーター18,000〜40,000台をハッキング、認証情報窃取で世界120カ国に影響

·5 分
IT APT28 ルーターハッキング DNS改ざん 認証情報窃取 ロシアサイバー攻撃
著者
Alicia
AI・IT・ハードウェアの最新ニュースを自動配信するテックブログです。
目次
サムネイル

史上最大規模のルーターハッキング作戦が発覚
#

あなたの家庭のルーターが、今この瞬間にロシア軍の諜報活動に利用されているかもしれません。

Lumen Technologies’ Black Lotus Labsの研究者が火曜日に発表した報告によると、ロシア軍事諜報機関GRUの一部であるサイバー攻撃集団APT28が、世界120カ国で18,000〜40,000台の家庭用ルーターをハッキングし、ユーザーを気づかないうちにパスワードや認証トークンを窃取するサイトへ誘導する大規模作戦を実行しています。

この攻撃は主にMikroTikとTP-Linkの家庭用ルーターを標的としており、従来のサイバー攻撃の規模を大きく上回る影響力を持っています。

何が起きたのか?
#

APT28(別名Pawn Storm、Sofacy Group、Forest Blizzardなど)は、少数のルーターをプロキシとして使用し、政府機関、法執行機関、外務省などの重要なターゲットのより多くのルーターに接続しました。攻撃者はルーターの制御権を獲得後、Microsoft 365サービスのドメインを含む特定のウェブサイトのDNSルックアップを変更しました。

攻撃の技術的手法は以下の通りです:

  1. 古いモデルの脆弱性悪用: パッチが適用されていない既知のセキュリティ脆弱性を持つ古いルーターモデルを標的
  2. DNS設定の改ざん: 特定のドメインのDNS設定を変更し、Dynamic Host Configuration Protocol(DHCP)を使用してルーターに接続されたワークステーションに伝播
  3. 中間者攻撃: 悪意のあるサーバーを経由させ、自己署名証明書を使用してトラフィックを傍受

なぜ重要なのか?3つのポイント
#

1. 攻撃規模の前例のない拡大
#

4週間の期間(12月12日開始)だけで、Black Lotusは290,000以上の異なるIPアドレスが悪意のあるAPT28 DNSリゾルバーに少なくとも1つのDNSリクエストを送信したことを観測しました。

2. 多要素認証も無効化
#

ユーザーがブラウザの警告をクリックして無視すると、攻撃者は多要素認証を完了した後のOAuthトークンやその他の認証情報を含む、通過するすべてのトラフィックを捕獲できました。

3. 継続的な戦術進化
#

Black Lotusの研究者によると、APT28は「大規模言語モデル(LLM)『LAMEHUG』などの最先端ツールと実証済みの長年の技術を組み合わせることで知られ」、常に防御者より先を行くように戦術を進化させています。

技術的な詳細解説
#

DNS改ざんの仕組み
#

攻撃者は、標的となる完全修飾ドメイン名(FQDN)が問い合わせされた際に、正しいアドレスではなく自身のIPアドレスを含むレコードを提供するよう設定されたDNSサーバーを運営しました。認証関連サービスに関連するドメインのみが介入の対象となり、その他のドメインへのトラフィックは直接通過しました。

プロキシサービスによる中間者攻撃
#

攻撃者はDNSを介してエンドユーザーが誘導される中間者(AitM)としてプロキシサービスを運営しました。この攻撃の唯一の兆候は、「ブレイクアンドインスペクト」による信頼されていないソースへの接続に関するポップアップ警告でした。

警告が表示されても無視またはクリックされると、攻撃者は正当なサービスへのリクエストをプロキシし、中間点でデータを収集し、有効なOAuthトークンを渡すことで標的アカウントに関連するデータを収集しました。

あなたへの影響は?
#

家庭ユーザーへの影響
#

  • 家庭のルーターがハッキングされている可能性
  • Microsoft 365などのクラウドサービスへのログイン情報が窃取される危険性
  • 多要素認証を設定していても、認証情報が盗まれる可能性

企業・組織への影響
#

  • 政府機関、法執行機関が特に標的とされている
  • 社員の家庭ルーターを通じた企業ネットワークへの侵入リスク
  • 機密情報の漏洩可能性

対策方法
#

ソース記事によると、以下の対策が推奨されています:

  1. DNS設定の確認: 現在のDNS設定を確認し、認識できないサーバーが設定されていないかチェック
  2. イベントログの監視: DNS サーバー設定への認識できない変更がないかイベントログを確認
  3. ルーターの交換: 寿命が終了したルーターを定期的なセキュリティアップデートを受信する新しいものに交換することを強く検討
  4. ブラウザ警告の重視: 信頼されていないTLS証明書の警告をクリックして進まない

まとめ
#

APT28のルーターハッキング作戦は、2018年の50万台のデバイスに感染したVPNFilterマルウェア、2024年の米国司法省による摘発に続く、同グループの継続的なルーターハッキング活動の一環です。

この攻撃は、家庭用ネットワークセキュリティの重要性と、定期的なセキュリティアップデートの必要性を改めて浮き彫りにしています。英国の国家サイバーセキュリティセンターが8月にアラートを発表した翌日から攻撃が急速に拡大したという事実は、サイバー攻撃集団の迅速な適応能力を示しています。

筆者の見解: この事案は、個人のネットワーク機器が国家レベルのサイバー戦争の戦場になっている現実を示しており、今後も同様の攻撃手法が他の国家支援型攻撃集団によって採用される可能性が高いと考えられます。

次に読むべき情報
#

技術的な詳細や最新の対策情報については、元記事を参照することをお勧めします。また、使用しているルーターのメーカーが提供するセキュリティアップデート情報も定期的にチェックすることが重要です。

出典: Thousands of consumer routers hacked by Russia’s military

関連記事