ロシアAPT28が家庭用ルーターを乗っ取りM365認証を大量窃取
200以上の組織、5,000以上の消費者デバイスが侵害された——ロシアの国家支援型ハッカー集団APT28(別名 Forest Blizzard / Fancy Bear)が、家庭やオフィスに設置されたSOHOルーターを踏み台にしてMicrosoft 365の認証情報を大量に窃取していたことが明らかになった。英国NCSC(国家サイバーセキュリティセンター)と米国当局が共同で摘発し、攻撃インフラの無力化に成功している。
Lumen Black Lotus Labsがこの攻撃キャンペーンを「FrostArmada」と命名。2025年5月以降継続してきたこの作戦は、MikroTikおよびTP-Linkの家庭用ルーターの脆弱性を悪用し、DNSハイジャックによるAdversary-in-the-Middle(AitM)攻撃を実行するという、極めて巧妙な手口を用いていた。
APT28とは何か——ロシアGRUのサイバー攻撃部隊
APT28は、ロシア連邦軍参謀本部情報総局(GRU)の第85主要特殊サービスセンター(GTsSS、通称Unit 26165)に属するサイバー攻撃グループだ。セキュリティ業界では「Fancy Bear」「Forest Blizzard」「Sofacy」「Sednit」「Pawn Storm」など、複数の呼称で知られている。
APT28は少なくとも2004年頃から活動しており、その標的は政府機関、軍事組織、シンクタンク、メディア、エネルギー企業など多岐にわたる。2016年の米国民主党全国委員会(DNC)へのサイバー攻撃で一躍有名になったが、それ以前からNATO加盟国やウクライナに対する執拗な攻撃を繰り返してきた。
GRUは軍事情報機関であるため、APT28の攻撃は単なるサイバー犯罪ではなく、ロシアの国家戦略と密接に結びついている。政治的・軍事的優位を確保するための情報収集、影響力工作、破壊活動がその主な目的だ。
FrostArmadaの攻撃手法——DNSハイジャックの仕組み
FrostArmadaの攻撃は、一見シンプルだが効果的な4段階のプロセスで構成されている。
この図は、FrostArmada攻撃の4段階のフロー、被害規模、攻撃者情報、英米当局による対応を示しています。
ステップ1: 脆弱なSOHOルーターの侵害
攻撃者はまず、インターネットに接続されたMikroTikおよびTP-Linkの家庭用・小規模オフィス用(SOHO)ルーターを標的にした。特にTP-Link WR841Nモデルに存在する脆弱性 CVE-2023-50224 が悪用された。
CVE-2023-50224は、認証されていないリモートの攻撃者がルーターの管理機能にアクセスできてしまう脆弱性だ。TP-Link WR841Nは世界中で数百万台が稼働する廉価なWi-Fiルーターであり、家庭やカフェ、小規模オフィスで広く使われている。多くのユーザーがファームウェアを更新しないまま放置しているため、攻撃者にとって格好の標的となった。
MikroTikルーターについても、既知の複数の脆弱性や、デフォルトのまま変更されていない管理者パスワードが悪用された。MikroTikルーターはISPや中小企業で広く利用されており、過去にもボットネット「Moobot」などで悪用された実績がある。
ステップ2: DHCP DNS設定の改ざん
ルーターへのアクセスを確保した攻撃者は、DHCP(Dynamic Host Configuration Protocol)のDNSサーバー設定を攻撃者が管理するIPアドレスに変更した。
DHCPは、ネットワークに接続するデバイスにIPアドレスやDNSサーバーの情報を自動的に割り当てるプロトコルだ。通常、ルーターはISP(インターネットサービスプロバイダ)が提供するDNSサーバーのアドレスを配布するが、この設定を攻撃者が書き換えることで、ルーター配下のすべてのデバイスが攻撃者のDNSサーバーを参照するようになる。
この手法の巧妙な点は、ユーザーのPC・スマートフォンには一切マルウェアをインストールする必要がないということだ。ルーターの設定を1か所変えるだけで、そのネットワークに接続するすべてのデバイスが影響を受ける。一般のユーザーがルーターのDHCP DNS設定を日常的に確認することはまずないため、発見が極めて困難だった。
ステップ3: Adversary-in-the-Middle(AitM)攻撃の実行
攻撃者のDNSサーバーは、大半のドメイン名については正規のIPアドレスを返す。しかし、Microsoft 365のログインページ(login.microsoftonline.com)へのアクセスだけは、攻撃者が用意した偽のログインページに誘導する。
AitM攻撃では、攻撃者は被害者と正規のMicrosoft 365サーバーの「間」に位置する。被害者が偽のログインページにID・パスワードを入力すると、攻撃者はその認証情報をリアルタイムで傍受しつつ、正規のMicrosoftサーバーに中継する。被害者から見れば正常にログインできるため、攻撃に気づくことは非常に難しい。
さらに厄介なのは、MFA(多要素認証)をバイパスできる点だ。攻撃者は被害者のセッショントークン(認証後に発行されるクッキー)も同時に傍受するため、MFAで保護されたアカウントであっても、セッショントークンを使って正規のユーザーとしてログインできてしまう。
ステップ4: 認証情報とセッショントークンの窃取
最終的に攻撃者は、Microsoft 365のユーザー名、パスワード、そしてセッショントークンを取得する。これにより以下のような被害が発生する。
- メールの閲覧・送信: 被害者のOutlookメールボックスにアクセスし、機密情報を窃取
- OneDrive/SharePointのファイル閲覧: 組織の内部文書、設計図、財務データなどを入手
- なりすまし攻撃: 被害者のアカウントからフィッシングメールを送信し、さらなる被害を拡大
- 横展開: 組織内の他のシステムやアカウントへのアクセス権を獲得
DNSハイジャックとは何か——インターネットの「住所録」を書き換える攻撃
DNSハイジャックの危険性を理解するには、DNS(Domain Name System)の仕組みを知る必要がある。
DNSは「インターネットの電話帳」と呼ばれるシステムだ。ブラウザに「login.microsoftonline.com」と入力すると、DNSサーバーがそのドメイン名に対応するIPアドレス(例: 20.190.159.64)を返し、ブラウザはそのIPアドレスに接続する。
通常のDNS解決フローは以下のとおりだ。
- ユーザーがブラウザに「login.microsoftonline.com」と入力
- PCがルーターから配布されたDNSサーバーに問い合わせ
- DNSサーバーが正規のIPアドレス(例: 20.190.159.64)を返す
- ブラウザが正規のMicrosoftサーバーに接続
FrostArmadaによるDNSハイジャック後は、このフローが以下のように変わる。
- ユーザーがブラウザに「login.microsoftonline.com」と入力
- PCが 攻撃者のDNSサーバー に問い合わせ(ルーターのDHCP設定が改ざんされているため)
- 攻撃者のDNSサーバーが 偽サーバーのIPアドレス を返す
- ブラウザが 攻撃者の偽ログインページ に接続
ブラウザのアドレスバーには正規のドメイン名が表示されるわけではないが、攻撃者は正規のSSL証明書に酷似した証明書を使用し、ページのデザインも本物そっくりに作るため、一般ユーザーが違いに気づくのは極めて困難だ。
APT28の過去の主要攻撃キャンペーン比較
APT28は過去20年以上にわたり、世界各国で大規模なサイバー攻撃を展開してきた。FrostArmadaの位置づけを理解するため、主要な攻撃キャンペーンを比較する。
| キャンペーン名 | 時期 | 手法 | 標的 | 目的 |
|---|---|---|---|---|
| Pawn Storm | 2014年~ | スピアフィッシング、ゼロデイ悪用 | NATO加盟国、軍事組織 | 軍事・政治情報の収集 |
| DNC攻撃 | 2016年 | スピアフィッシング、マルウェア | 米国民主党全国委員会 | 選挙妨害・情報工作 |
| NotPetya | 2017年 | サプライチェーン攻撃(MeDoc経由) | ウクライナ、グローバル企業 | 破壊活動($100億以上の被害) |
| VPNFilter | 2018年 | ルーター・NAS感染 | 50万台以上のネットワーク機器 | ボットネット構築・データ窃取 |
| Fancy Bear Goes Phishing | 2019年~ | OAuth悪用、フィッシング | 政府機関、シンクタンク | 認証情報窃取 |
| Moobot | 2024年 | Ubiquitiルーター感染 | 米国内のSOHOルーター | 攻撃インフラ構築 |
| FrostArmada | 2025年5月~ | DNSハイジャック、AitM | MikroTik/TP-Linkルーター、M365ユーザー | M365認証情報の大量窃取 |
注目すべきは、APT28が繰り返しSOHOルーターを攻撃インフラとして悪用している点だ。2018年のVPNFilter、2024年のMoobot、そして2025年のFrostArmadaと、家庭用ルーターがロシアの国家的サイバー攻撃の要として機能し続けている。
英米当局の共同摘発——インフラ無力化の詳細
英国NCSCと米国当局は共同作戦により、FrostArmadaの攻撃インフラを無力化した。
英国NCSCはアドバイザリを公開し、以下の情報を詳細に記述している。
- 侵害指標(IoC): 攻撃者が使用したIPアドレス、ドメイン名、マルウェアハッシュ
- 攻撃手法の詳細: MITRE ATT&CKフレームワークに基づく攻撃手法の分類
- 検知方法: ネットワーク管理者が侵害の有無を確認するための具体的な手順
- 緩和策: 組織が取るべき防御措置の一覧
Lumen Black Lotus Labsは攻撃インフラの技術的分析を担当し、APT28が使用したC2(コマンド&コントロール)サーバー群の特定に貢献した。同社は侵害されたルーターからの不審なDNSトラフィックパターンを検知し、攻撃の全容解明に大きく貢献している。
日本への影響——SOHOルーターの深刻なリスク
FrostArmadaは主に欧米の組織を標的にしていたが、日本のユーザーや企業にとっても他人事ではない。
日本のSOHOルーターの現状
日本国内のSOHOルーター環境には、FrostArmadaと同様の攻撃を受けるリスクが複数存在する。
ファームウェア未更新の放置ルーター: 総務省のNOTICE(National Operation Towards IoT Clean Environment)プロジェクトによる調査では、日本国内でインターネットに接続されたIoT機器のうち、相当数が脆弱な状態にあることが報告されている。家庭用ルーターは購入後一度も更新されないまま5年以上使い続けるケースが珍しくない。
バッファロー、NEC、TP-Linkの市場シェア: 日本のSOHOルーター市場ではバッファロー、NEC(Aterm)、TP-Linkが大きなシェアを持つ。TP-Linkは日本でも低価格帯で人気があり、FrostArmadaで悪用されたWR841Nシリーズの派生モデルが流通している。
テレワークの定着: コロナ禍以降、日本でもテレワークが定着した。家庭用ルーター経由で企業のMicrosoft 365やGoogle Workspaceにアクセスする従業員は増加しており、SOHOルーターの侵害は企業ネットワークへの侵入経路となりうる。
日本固有のリスク要因
日本には独自のリスク要因もある。
- ルーターの長期使用文化: 「壊れるまで使う」文化が根強く、サポート終了(EoL)ルーターが現役で稼働しているケースが多い
- ISP提供ルーターの管理不在: ISPからレンタルされたルーターはユーザーが設定を変更しにくく、脆弱性パッチの適用もISP任せになりやすい
- 中小企業のIT投資不足: セキュリティ専任者がいない中小企業では、ルーターのセキュリティ管理が事実上放置されている
JPCERT/CCの警鐘
JPCERT/CCは以前から、日本国内のルーターがボットネットの一部として悪用されるケースを報告している。2023年には、日本国内のブロードバンドルーターがDDoS攻撃の踏み台として大規模に悪用された事例が確認されている。FrostArmadaのようなDNSハイジャック型の攻撃は、日本でも十分に発生しうる脅威だ。
家庭用ルーターのセキュリティ対策
FrostArmadaのような攻撃から身を守るために、今すぐ実施すべき対策を紹介する。
この図は、家庭用ルーターのセキュリティを強化するための8項目のチェックリストを示しています。
基本対策
1. ルーターの管理パスワードを変更する: 多くのルーターは出荷時に「admin / admin」や「admin / password」といったデフォルトパスワードが設定されている。これを長く複雑なパスワードに変更することが最も重要だ。1Passwordのようなパスワード管理ツールを使えば、ルーターを含むすべてのアカウントに対して一意の強力なパスワードを生成・管理できる。
2. ファームウェアを最新版に更新する: ルーターメーカーのWebサイトから最新のファームウェアをダウンロードし、適用する。CVE-2023-50224のような既知の脆弱性は、ファームウェア更新で修正される。自動更新機能がある場合は必ず有効にする。
3. リモート管理を無効化する: ルーターのWAN側(インターネット側)からの管理アクセスを無効にする。これにより、外部からルーターの設定を変更される可能性を大幅に低減できる。
上級対策
4. DNS設定を手動で確認・固定する: ルーターの管理画面にログインし、DHCP DNS設定がISP提供のDNSサーバーまたは信頼できるパブリックDNS(Cloudflare 1.1.1.1、Google 8.8.8.8など)に設定されていることを確認する。不審なIPアドレスが設定されていた場合は、即座に変更し、パスワードも変更する。
5. UPnPを無効化する: UPnP(Universal Plug and Play)は便利な機能だが、攻撃者がルーターのポートを外部に開放するために悪用されることがある。必要のない場合は無効にする。
6. ネットワーク監視: PCのDNS設定が意図しないサーバーを指していないか、定期的に確認する。Windowsなら ipconfig /all、macOSなら scutil --dns コマンドで確認できる。
パスワード管理の重要性
FrostArmadaの被害が拡大した一因は、多くのユーザーがMicrosoft 365のパスワードを使い回していたことにある。攻撃者がM365の認証情報を入手すると、同じパスワードを使っている他のサービス(銀行、ECサイトなど)にも不正アクセスを試みる「クレデンシャルスタッフィング」攻撃に発展する。
1Passwordをはじめとするパスワード管理ツールを導入すれば、すべてのサービスに異なる複雑なパスワードを設定でき、1つのサービスが侵害されても他のサービスへの影響を防げる。さらに、1Passwordのパスキー対応やWatchtower機能(漏洩パスワードの検知)を活用すれば、FrostArmadaのような攻撃への耐性を大幅に高められる。
サポート終了ルーターの危険性
FrostArmadaが悪用したTP-Link WR841Nのような廉価なルーターは、メーカーのサポートが終了(End of Life)しても使い続けられるケースが多い。サポート終了後はセキュリティパッチが提供されないため、新たに発見される脆弱性は永久に修正されない。
日本でも、バッファローやNECの古いルーターがサポート終了後も現役で使われているケースは少なくない。ルーターは「壊れない限り買い替えない」という意識が根強いが、セキュリティの観点からは5年を目安に買い替えることを推奨する。
最新のルーターは、自動ファームウェア更新、WPA3対応、セキュリティ機能の強化など、旧世代のルーターにはない防御機能を備えている。ルーターの買い替えは、家庭のネットワークセキュリティへの最も効果的な投資の1つだ。
まとめ——今すぐ実行すべき3つのアクション
FrostArmadaは、高度な国家支援型サイバー攻撃が、私たちの家庭にあるルーターを起点に展開されるという現実を突きつけた。APT28は今後も新たな攻撃キャンペーンを展開する可能性が高く、SOHOルーターは引き続き格好の標的であり続けるだろう。
今すぐ実行すべきアクションは以下の3つだ。
- ルーターの管理画面にログインし、ファームウェアのバージョンを確認する。メーカーのWebサイトで最新版が公開されていれば即座に更新する。サポートが終了しているモデルなら、買い替えを検討する
- DHCP DNS設定を確認する。不審なIPアドレスが設定されていないか確認し、信頼できるDNS(ISP提供、Cloudflare 1.1.1.1、Google 8.8.8.8)に固定する。あわせて管理パスワードをデフォルトから変更する
- パスワード管理ツールを導入し、すべてのサービスで異なるパスワードを使う。1Passwordなどのツールで、M365を含むすべてのアカウントに一意の強力なパスワードを設定する。可能であればパスキーも有効化する
サイバーセキュリティは「自分には関係ない」と思いがちだが、FrostArmadaが示したのは、家庭のルーターが国家レベルのサイバー攻撃の入り口になりうるという事実だ。あなたのルーターは大丈夫だろうか。今すぐ確認してほしい。
「セキュリティ」カテゴリの記事
- セキュリティ
React2ShellでNext.js 766ホスト侵害——CVSS 10.0の認証情報窃取攻撃
- セキュリティ
Docker脆弱性CVE-2026-34040——1リクエストでホスト全権奪取の衝撃
- セキュリティ
Anthropic「Claude Mythos」が数千のゼロデイを発見——Project Glasswing始動
- セキュリティ
Chromeゼロデイ CVE-2026-5281が悪用中——35億ユーザーに今すぐ更新を
- セキュリティ
Axiosに北朝鮮バックドア——週間1億DLのnpmパッケージが3時間汚染された
- セキュリティ
イランAPTが米国のPLCを攻撃——FBI・CISA・NSAが緊急勧告