自宅のWi-Fiルーター、最後に設定画面を開いたのはいつでしょうか。多くの方が「買ってから一度も触っていない」と答えるはずです。しかし今、その”放置されたルーター”がロシア軍のサイバー攻撃の踏み台にされる事態が世界規模で広がっています。
セキュリティ企業Lumen TechnologiesのBlack Lotus Labsが2026年4月7日に公表した調査によると、ロシア軍の情報機関GRUに属するハッカー集団「APT28」(別名:Fancy Bear、Forest Blizzard)が、家庭や小規模オフィスで使われているルーターを大量にハッキング。利用者を偽サイトに誘導し、パスワードや認証トークンを盗み取る作戦「FrostArmada」を展開していたことが明らかになりました。同日、英国のNational Cyber Security Centre(NCSC)、Microsoft、FBI、米国司法省(DOJ)も協調して詳細を公表しています。
世界120カ国以上・最大約4万台のルーターが「兵器化」されていた
被害の規模は衝撃的です。Black Lotus Labsの分析によると、2025年12月12日から2026年1月13日までの約1か月間に、290,000を超えるIPアドレスがAPT28の管理するDNSサーバーにリクエストを送信していました。このうち継続的なやり取り(5回以上)が確認されたIPは約40,000、さらに頻繁なやり取り(10回以上)が確認されたIPは約18,000に上り、これらが侵害された可能性のあるルーターと推定されています。所在地は120カ国以上に及びます。
主にMikroTikとTP-Link製のルーターが狙われましたが、Nethesis製ファイアウォールや旧型のFortinet製品も標的に含まれていました。TP-Linkは日本の家電量販店でも定番のブランドであり、決して他人事ではありません。
感染したルーターの一部は「プロキシ(中継地点)」として利用され、外務省・法執行機関・政府機関など、APT28が諜報対象とする組織への接続に使われていました。Microsoftの分析では、200以上の組織と5,000台の個人用デバイスが影響を受けたとされています。つまり、一般家庭のルーターが知らぬ間に”軍事スパイの道具”に変えられていたということです。
巧妙すぎる手口——DNS書き換えでパスワードを丸ごと窃取
攻撃の仕組みを順を追って見ていきましょう。少し技術的な話になりますが、理解しておくことが身を守る第一歩です。
ステップ1:古いルーターの脆弱性を突いて侵入
APT28が狙ったのは、既知のセキュリティ脆弱性にパッチ(修正プログラム)が適用されていない古いモデルのルーターです。例えばTP-Link WR841Nの場合、認証バイパスの脆弱性(CVE-2023-50224)が悪用されたとNCSCは報告しています。メーカーがすでにサポートを終了した機種や、ファームウェアが長期間更新されていない機種が格好の標的になりました。
ステップ2:DNS設定を密かに書き換える
侵入に成功すると、攻撃者はルーターのDNS設定を変更します。DNSとは、Webサイトの名前(例:outlook.office365.com)を、コンピュータが理解できるIPアドレスに変換する”インターネットの電話帳”のような仕組みです。
この電話帳が書き換えられると、たとえばMicrosoft 365のログインページにアクセスしたつもりが、攻撃者が用意した偽サーバーに誘導されてしまいます。Microsoftも、同社のOutlook on the webのサブドメインが標的になったことを確認しています。
ステップ3:DHCPで家中のデバイスに伝播
さらに厄介なのは、書き換えられたDNS設定がDHCP(ネットワーク内のデバイスに自動で接続情報を割り当てる仕組み)を通じて、ルーターに接続されたすべてのパソコンやスマホに伝播する点です。ルーター1台の感染が、家庭内・オフィス内の全デバイスを危険にさらすことになります。
ステップ4:自己署名証明書で通信を傍受
偽サーバーは自己署名証明書を使用していたため、ブラウザには「信頼されていないサイトです」という警告が表示されます。しかし、この警告をクリックして無視してしまうと、攻撃者のサーバーがすべての通信を傍受。多要素認証(MFA)を完了した後のOAuthトークンまで盗まれてしまいます。
多要素認証は「破られにくいセキュリティ対策」として広く推奨されていますが、今回の手口は認証プロセスそのものを横取りする「中間者攻撃(Adversary-in-the-Middle)」であるため、MFAを設定していても防げないのです。Microsoftも「Forest Blizzardがエッジデバイスの侵害後にDNSハイジャックを大規模に利用してTLS接続に対するAitM攻撃を行ったのは、今回が初めて確認された事例」と述べています。
暴露されても止まらない——APT28の「しぶとさ」
APT28によるルーターの悪用は今回が初めてではありません。2018年には「VPNFilter」と呼ばれるマルウェアで約50万台ものデバイスが感染していたことが判明しています。2024年2月には米国司法省がAPT28によるMoobot(Ubiquiti製ルーターを利用したボットネット)を摘発しました。
今回のFrostArmada作戦は2025年5月に少数のデバイスを対象に始まりました。最初のAitM(中間者攻撃)ノードは5月19日にアフガニスタン政府のMikroTikルーターからDNSリクエストを受信しています。2025年8月5日にイギリスのNCSCがMicrosoft Officeの認証情報を窃取するマルウェア「Authentic Antics」に関する技術分析レポートを公開すると、その翌日(8月6日)にAPT28は大規模なルーター侵害とDNSリダイレクトを開始しました。Black Lotus Labsはこのタイミングについて、「一つの手段が暴露されると、攻撃者はすぐさま別の手段に切り替え、認証情報の収集を継続していた」と分析しています。
さらにBlack Lotus Labsは、APT28の全体像について次のように警鐘を鳴らしています。「LLM(大規模言語モデル)を活用するマルウェア『LAMEHUG』のような最先端ツールと、実績のある旧来の手法を融合させることで知られるForest Blizzard(APT28の別名)は、防御側の一歩先を行くために戦術を常に進化させている」。
(注:LAMEHUGはLLMそのものではなく、Alibaba Cloud製のオープンソースLLM「Qwen 2.5-Coder-32B」をHugging Face API経由で呼び出し、攻撃コマンドを動的に生成するマルウェアです。2025年7月にウクライナのCERT-UAが発見・報告しました。)
法執行機関による摘発——「Operation Masquerade」
2026年4月7日、FBIはボストン支局主導で「Operation Masquerade」と名付けた法的措置を実行。裁判所の許可を得た上で、米国内の侵害されたTP-Linkルーターに対してコマンドを送信し、APT28が設定した悪意あるDNSリゾルバーを除去、正規のISP提供DNSへの復旧を行いました。併せて証拠の収集と、攻撃者の再侵入防止策も実施されています。
この作戦はLumen Technologies、Microsoft、ポーランド政府を含む国際的な協力体制のもとで行われました。
今すぐ確認すべき4つの対策
「国家レベルのサイバー攻撃なんて、自分には関係ない」と思った方こそ要注意です。APT28が踏み台にしたのは、まさに「普通の家庭用ルーター」なのですから。今すぐ以下の対策を実施してください。
① ルーターのDNS設定を確認する ルーターの管理画面にログインし、DNS設定に見覚えのないサーバーアドレスが登録されていないかチェックしましょう。通常はプロバイダから自動取得されているか、Google(8.8.8.8)やCloudflare(1.1.1.1)などの有名なDNSが設定されているはずです。
② イベントログでDNS設定の変更履歴を確認する ルーターのイベントログ(操作履歴)を開き、自分が行っていないDNSサーバー設定の変更がないか確認しましょう。不審な変更が見つかった場合は、ルーターを初期化したうえでファームウェアを最新版に更新してください。
③ サポート切れのルーターは買い替えを検討する メーカーからセキュリティアップデートが提供されなくなった「サポート終了機種」を使い続けるのは、鍵の壊れた玄関ドアを開けっ放しにしているようなものです。FBIとDOJも「ルーターがメーカーのサポート終了リストに載っていないか確認し、必要なら買い替えを」と呼びかけています。管理インターフェースがインターネットに公開されていないことも確認してください。
④ ブラウザのTLS証明書警告を絶対に無視しない 「この接続は安全ではありません」「証明書が信頼されていません」といったブラウザの警告が表示されたら、絶対に「続行」をクリックしてはいけません。今回の攻撃では、この警告を無視したユーザーの認証情報が盗まれています。警告が出た時点でページを閉じ、別の方法でアクセスし直してください。
国家規模のサイバー攻撃が一般家庭のルーターを経由して行われる時代です。「自分は狙われるような人間じゃない」という思い込みこそが、最大の脆弱性かもしれません。
出典:Ars Technica , Black Lotus Labs (Lumen Technologies)
参考:UK NCSC、Krebs on Security、BleepingComputer、TechCrunch、The Hacker News、Infosecurity Magazine、ThreatLocker
