Microsoftと英国国家サイバーセキュリティセンター(NCSC)は2026年4月7日、ロシア軍参謀本部情報総局(GRU)系とされるAPT28、Microsoftの呼称ではForest Blizzardが、SOHOルーターを侵害してDNS設定を書き換え、認証通信を攻撃者側へ迂回させる大規模な作戦を続けていたと公表した。Microsoftは自社観測だけで200超の組織と5,000台の消費者向け機器への影響を確認したとしている。
重要なのは、標的が企業のクラウド基盤そのものではなく、その手前にある家庭用・小規模拠点向けのネットワーク機器だった点である。Microsoftは、リモート勤務やハイブリッド勤務で使われる未管理の自宅ルーターが侵害されると、企業側のMicrosoft 365環境やクラウドサービス自体が破られていなくても、利用者の認証トラフィックや機密データが露出しうると警告した。境界防御をすり抜けるというより、境界そのものを利用者宅へ押し戻した働き方の弱点を突いた形だ。
さらにこの件は、単発の侵入事例では終わらない。Lumen Black Lotus Labsは別系統の観測から、この作戦を「FrostArmada」として追跡し、2025年12月のピーク時には少なくとも120カ国からForest Blizzard関連インフラとの通信を確認したと報告した。つまり今回のニュースは、APT28が家庭用ルーターを“踏み台”として使ったという話にとどまらず、認証基盤の前段を押さえることでクラウド時代の身元確認そのものを揺さぶる戦術が、かなり広い規模で回っていたことを示している。
攻撃の中心はマルウェア投入ではなく、ルーターの設定改変である
NCSCとMicrosoftの説明を合わせると、今回の作戦の核心は、侵害したSOHOルーターでDHCPやDNSの設定を書き換え、配下のノートPCやスマートフォンに攻撃者管理下のDNSリゾルバを使わせる点にある。利用者側の端末から見ると、普段どおりWi-Fiへ接続しているだけでも、名前解決の経路がすでに書き換えられているため、特定の認証関連ドメインだけが攻撃者の中継基盤へ誘導されうる。
Microsoftは、Forest Blizzardが少なくとも2025年8月以降、脆弱なSOHO機器を悪用してDNS要求を乗っ取り、ネットワーク通信を収集していたと説明する。さらに、侵害後の運用として、Microsoft Outlook on the web関連ドメインの一部や、アフリカの少なくとも3つの政府組織が使う非Microsoftホストのサーバーに対して、TLS接続を挟み込むAiTM(Adversary-in-the-Middle)活動を確認した。攻撃者はdnsmasqを使った可能性が高く、標的ドメインに対しては正規の応答だけでなく偽のDNS応答を返し、無効なTLS証明書を提示するサーバーへ接続を向ける場合があったという。
ここで見落としやすいのは、派手な新型マルウェアやゼロデイが主役ではないことである。Lumenは今回の作戦について、新たなエクスプロイトを確認していないと明記している。NCSCも、APT28は既知の脆弱性、インターネットへ露出した管理画面、弱い初期パスワードを起点に侵入し、その後はルーター本来の正規機能を使ってDNS設定を書き換えたと説明した。攻撃の難所は侵入後の設定変更と選択的なトラフィック誘導にあり、そこが従来の「マルウェア感染」中心の理解では見えにくい。
Microsoftの5,000台とLumenの18,000件は、矛盾ではなく観測単位が違う
今回の報道で混乱しやすいのが被害規模の数字である。Microsoftは「200超の組織」「5,000台の消費者向け機器」という比較的絞り込まれた確認値を示した一方、Lumenはインターネット規模の通信観測からはるかに大きい数字を出している。両者は同じ母集団を数えているわけではなく、観測の切り方が違う。
| 観測主体 | 何を見ているか | 公表値 |
|---|---|---|
| Microsoft | 自社が影響を確認した組織・機器 | 200超の組織、5,000台の消費者向け機器 |
| Lumen | 攻撃者管理DNS基盤へ届いた通信の広がり | 2025年12月ピークで18,000超のIP、少なくとも120カ国 |
| Lumen | 2025年12月12日〜2026年1月13日の1カ月間の通信量 | 290,000超の単発IP、約40,000の低信頼候補、18,000の中信頼候補 |
| NCSC | 作戦の継続期間、対象機器、手口 | 2024年から2026年にかけて活動継続 |
Lumenはこの1カ月窓で、攻撃者管理サーバーへ少なくとも1回DNS要求を送ったIPを29万超確認したが、それだけでは誤差が大きいため、5回以上の相互作用で約4万、10回以上で1万8,000の「より信頼度の高い候補」へ絞り込んでいる。つまり、29万という数字をそのまま「被害者数」と読むのは雑であり、逆にMicrosoftの5,000台だけを全体像だとみなすのも狭すぎる。これは、Microsoftは確認済み影響、Lumenはインフラ側から見た露出規模、と位置付けるのが妥当だろう。
なぜ2025年夏以降に広がったのか
Lumenの時系列は、この作戦のいやらしさをよく示している。同社は最も早い活動を2025年5月に確認し、5月19日にはアフガニスタン政府に関連するMikroTikルーターから、Forest BlizzardのAiTMノードへ流れ込むDNS要求を観測した。その後、NCSCが2025年8月5日にAPT28の「AUTHENTIC ANTICS」マルウェア報告を公開すると、翌8月6日からより広範なルーター侵害とDNSリダイレクトが立ち上がったという。Lumenはこのタイミングを、攻撃者が素早く手口を適応させた証拠だと解釈している。
ここから読み取れるのは、公開済みの資格情報窃取ツールが露見しても、それでAPT28の認証窃取作戦が止まるわけではないということだ。端末やクラウドアカウントへ直接入り込む経路が監視されやすくなれば、今度はその手前のDNS経路を押さえればよい。Microsoftが今回の活動を「Forest Blizzardがエッジ機器侵害後にDNSハイジャックを大規模利用し、TLS接続のAiTMを支えた初の観測例」と位置付けたのは、この発想の転換が実際の運用段階に入ったからである。
しかもAPT28がルーターを使うのは今回が初めてではない。米司法省は2024年2月、GRU Unit 26165がMoobotマルウェアで構築したSOHOルーターボットネットに対し、裁判所命令に基づく妨害措置を実施したと発表している。今回のDNS改変作戦は、その延長線上で「侵害したルーターをどう使うか」がさらに認証基盤寄りへ進んだものとみるべきだろう。
危険なのは政府だけではなく、管理の薄い自宅回線を踏む組織全体である
Lumenは、外務省、国家法執行機関、サードパーティのメール事業者、自前でメールサーバーを運用する組織、ある欧州国家のID基盤を運営する機関などを有力な被害候補として挙げた。Microsoftも公共部門、通信、IT、運輸、防衛、エネルギーといった分野で200超の組織を把握している。対象は国家機関に限られず、認証やメールを持つ組織全般へ広がる。
NCSCは、初期侵害の段階ではAPT28がかなり日和見的に広く漁っている可能性を指摘している。公開された管理画面と既知の脆弱性、初期設定の甘さを見つけ次第ルーターを押さえ、その後に諜報上の優先度が高い通信だけを細かく選別するという構図である。このやり方なら、攻撃者は標的組織の端末管理やEDRの状況に左右されにくい。家庭用ルーターや小規模拠点ルーターの管理不足そのものが、企業や官公庁の認証面へ接続されてしまう。
NCSCが列挙した対象機器も現実的だ。Ubiquiti EdgeRouter、MikroTik、TP-Link、ASUS、Cisco RV320/RV325といった機種群は、SOHOや支社、小規模事業所、自宅オフィスで広く使われてきた。高価な専用機器ではなく、導入しやすさを優先して設置された装置が、数年後には見えにくい攻撃面になる。クラウド時代の防御はID管理が中心だと語られがちだが、実際にはそのIDへ到達するためのDNS経路がローカル機器に依存している以上、ルーター管理を周辺論点のままにはできない。
直すべきポイントは「証明書を疑え」より前にある
利用者に対して「怪しい証明書警告を無視するな」と伝えることは必要だが、それだけでは後手である。NCSCの勧告はもっと基礎的で、管理インターフェースをインターネットへ露出させないこと、セキュリティ更新が適用される比較的新しい機器を使い続けること、監視ログの活用や多要素認証の導入を進めることに重心がある。今回の作戦はルーターの「正規機能」を悪用するため、見た目に大きな異常が出にくい。だからこそ、DNSサーバー設定やDHCP配布内容の監査をネットワーク運用の標準項目へ上げる必要がある。
企業側にとっての論点も同じだ。ゼロトラストや多要素認証を導入していても、従業員が使う自宅回線の上流に攻撃者のDNS制御が残っていれば、認証画面へ至る経路が汚染される。Microsoftが今回、自宅ルーターを「企業が安全でも危険になりうる地点」と位置付けたのは妥当だ。今後の焦点は、SOHO機器を個人の持ち物として放置するのか、それとも認証面の一部として企業のリスク管理へ組み込むのかに移るだろう。
APT28の今回の作戦が示したのは、クラウド化で消えたはずの境界が、実際には家庭用ルーターという形で残っていたという事実である。認証の安全性はIdPやMFAだけで決まるのではなく、そこへ名前解決を届ける最初の装置がどれだけ更新され、どれだけ監視されているかにも左右される。攻撃者がこの層を押さえ続ける限り、次の大きな争点はアカウント保護機能の追加ではなく、見過ごされてきた末端ネットワーク機器を誰が管理責任の内側へ引き戻すかになる。
Sources
- Microsoft Security Blog: SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks
- NCSC:
- Lumen Black Lotus Labs: FrostArmada: All thriller, no (malware) filler
- U.S. Department of Justice: Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation Military Intelligence Service (GRU)
- Ars Technica: Russia’s military hacks thousands of consumer routers to steal credentials