ロシアのサイバー攻撃グループとして知られる「APT28(Fancy Bear)」が、古いルーターに残された脆弱性を悪用し、DNS(Domain Name System)を乗っ取る形の攻撃を行っていたとして、米英の関係機関が情報を公開した。DNSはインターネットの“名前解決”を担う基盤であり、ここが改ざんされると、ユーザーが正しいURLを入力しても偽サイトへ誘導されるなど、被害は認証情報の窃取、マルウェア感染、メール不正送信の足がかり化まで広範に及ぶ。今回の事案は「古いルーターを放置すること」が、個人や中小企業にとっても国家支援級の攻撃者と接点を持ってしまう現実を突きつけた。
APT28と今回の攻撃が示す特徴
APT28は長年にわたり各国政府機関、軍事、研究機関、重要インフラなどを狙う高度標的型攻撃(APT)で知られてきた。今回公表された内容の要点は、「古いルーターの既知の弱点」を起点にし、DNS設定を改ざんして通信経路を支配する、比較的“古典的”だが依然として強力な手口が実際に使われていた点にある。
ゼロデイ脆弱性や特殊なマルウェアだけが脅威ではない。サポート終了機器、更新が止まったファームウェア、初期設定のままの管理画面、インターネット側に露出した遠隔管理機能など、運用の隙がある機器は攻撃者にとって費用対効果の高い侵入口になる。特に家庭用・SOHO向けルーターは、導入後に継続的な保守が行われないケースが多く、APTのような攻撃者が“量”を利用して足がかりを確保する戦略とも相性が良い。
DNSハイジャックとは何か 何が危険なのか
DNSは「example.com」などのドメイン名をIPアドレスに変換する仕組みだ。ルーターは家庭やオフィス内の端末に対して、利用すべきDNSサーバー情報を配布することが多い。攻撃者がルーターの設定を書き換え、悪意あるDNSサーバーを参照させると、利用者は気付かないまま偽の回答を受け取る可能性がある。
DNSハイジャックが深刻なのは、通信の入口で「どこへ接続するか」を誤誘導できる点にある。典型的な被害は以下の通りだ。
- フィッシングの高度化:銀行、クラウド、メールなどの正規サイトへアクセスしたつもりでも偽サイトへ誘導され、ID・パスワードやワンタイムコードを奪われる。
- マルウェア配布:ソフトウェア更新サイトやダウンロード先が差し替えられ、トロイの木馬などを入れられる。
- メールや業務システムの侵害:クラウドログイン情報が窃取されると、侵害は端末の外(SaaS、メール、ファイル共有)へ波及する。
- 検知の難しさ:端末側のセキュリティ対策だけでは、DNS応答の改ざんを見抜けない場面がある。
なお、HTTPSが普及した現在は「証明書警告が出れば気付ける」と考えがちだが、現実には利用者が警告を無視する、正規証明書を取得したフィッシングサイトへ誘導する、あるいは特定のアプリや更新経路の弱点を突くなど、攻撃の成立パターンは残っている。DNSの支配は、攻撃者にとって“横断的”に効く。
なぜ「古いルーター」が狙われるのか
狙われやすさの背景には、技術的・運用的な要因が重なる。
- サポート終了(EoL):メーカーが修正パッチを提供せず、既知の脆弱性が永続化する。
- 管理画面の露出:WAN側から管理画面にアクセスできる設定や、UPnPなどで意図せず露出するケース。
- 弱い認証:初期パスワードのまま、推測容易なパスワード、使い回し。
- 更新運用の欠如:ファームウェア更新が“任意”で、放置されがち。
さらに、ルーターはネットワークの要所であるため、一度侵害されると同一ネットワーク内の多数端末に影響できる。DNS設定の改ざんは、端末に個別侵入するよりも低コストで効果が大きいという意味で、攻撃者の合理性に合致する。
企業・組織が取るべき対策(優先度順)
今回のようなDNSハイジャックを含む境界機器リスクに対し、組織が取るべき現実的な対策を優先度順に整理する。
機器の棚卸しとEoL排除
まず、ルーター/UTM/VPN装置などの境界機器を資産台帳化し、型番・ファームウェア・サポート期限を把握する。EoL機器は「脆弱性対応ができない」ため、原則として更改が必要だ。コストを理由に先送りすると、復旧・調査・信用毀損のコストが上回る。
管理プレーンの防御(外部公開の最小化)
管理画面へのアクセスは社内限定、もしくは管理用VPN経由にし、WAN側からの管理を無効化する。不要な遠隔管理、UPnP、ポート開放を見直す。可能なら管理画面は多要素認証、少なくとも強固なパスワードとアカウント分離を徹底する。
DNS設定の監視と信頼できるリゾルバの利用
ルーターのDNS設定(配布先)を定期的に点検し、変更検知(コンフィグ差分監視)を行う。端末側は可能であれば、組織指定のDNSリゾルバを固定し、DNS over HTTPS(DoH)/ DNS over TLS(DoT)を検討する。ただし、運用設計(監査やフィルタリング、障害時の挙動)とセットで導入する必要がある。
ログと検知:侵害を前提に早期発見へ
境界機器のログ出力・保全は軽視されやすいが、侵害時の原因特定に直結する。管理画面へのログイン試行、設定変更イベント、DNS関連設定の変更、異常な外向き通信(不審なDNSサーバーへの接続)などをSIEMやEDR連携で可視化する。
復旧手順の整備(バックアップとリセット)
ルーター設定のバックアップ、工場出荷状態へのリセット手順、再設定手順、ISP連絡や証跡保全の手順を文書化する。DNSハイジャックが疑われる場合は、端末側の対処だけでなく、境界機器の完全初期化と認証情報の総入れ替えが必要になることが多い。
個人・SOHOでもできる現実的な防御
家庭や小規模オフィスでも、被害の入口は同じだ。次の4点だけでも効果が大きい。
- ルーターの型番を確認し、サポートが続いている機種に更改する(古い機種ほど危険)。
- ファームウェアを最新化し、自動更新があれば有効化する。
- 管理画面のパスワードを強固にし、外部からの管理を無効にする。
- ブラウザで証明書警告が出た場合はログインせず、DNS設定(ルーターの配布先)を確認する。
まとめ:DNSは「見えにくいが効き目が大きい」攻撃面
APT28によるDNSハイジャックは、最先端のゼロデイよりも、運用の穴と古い機器の放置が大きな被害につながり得ることを示した。DNSは日常利用の基盤であり、ここを押さえられるとフィッシングやマルウェア配布、アカウント侵害が連鎖的に起こる。対策の要点は、境界機器のEoL排除、管理画面露出の最小化、DNS設定の監視、そしてログに基づく早期検知だ。脅威が高度化するほど、基本対策の徹底が最も費用対効果の高い防御になる。
参照リンク:
ロシアのサイバー攻撃グループ「APT28」が、古いルーターの脆弱性を悪用したDNSハイジャック攻撃。米英機関が情報公開(千葉テレビ放送)