ニュース
ロシアのサイバー攻撃グループ「APT28」が、古いルーターの脆弱性を悪用したDNSハイジャック攻撃。米英機関が情報公開
2026年4月10日 14:40
英国の国家サイバーセキュリティセンター(NCSC)は4月7日、ロシアのサイバー攻撃グループ「APT28」が、ルーターの脆弱性を悪用した「DNSハイジャック攻撃」を行っているとして情報を公開した。
APT28は、ロシア軍参謀本部情報総局(GRU)に関連しているとみられるグループ。Forest Blizzard、Fancy Bear、STRONTIUM、Sednit Gang、Sofacyといった別名で呼ばれることもあり、過去にはドイツ連邦議会やウクライナに対するサイバー攻撃を行っている。
今回情報が公開された攻撃は、2024年~2026年に行われていたと見られており、ルーターの脆弱性を悪用し、ドメイン名とIPアドレスを対応づけるDNSサーバーの設定を変更することで、Outlookなどに関連するドメイン名の検索を、攻撃者が所有する悪意のあるIPアドレスに解決させる「DNSハイジャック攻撃」と呼ばれる手法が用いられている。
こうした攻撃は、脆弱性が存在するTP-LinkやMikroTik(ラトビアに本社を置くネットワーク機器メーカー)などのルーターを標的に行われている。
NCSCはDNSハイジャック攻撃の詳細について、次のように説明している。攻撃者は、特定のDNSリクエストに対してのみ悪意のあるIPアドレスへの転送を行い、それ以外は正規のIPアドレスに転送している。また、認証情報を窃取する目的で、ユーザーとサービスの間に割り込んで、通信内容の盗聴や改ざんを行う「中間者攻撃」も試みているという。
一部の製品は、ウクライナ国内に設置されたMikroTik製品に対する攻撃者のインタラクティブな(自動的でない)オペレーションに関与していたという。NCSCは、攻撃者にとって諜報上の価値が高いとみられると指摘している。
米司法省とFBIは、APT28の攻撃を妨害する「Operation Masquerade」(マスカレード作戦)を実行した。同作戦では、アメリカ国内で被害を受けているTP-Link製のルーターに対してDNS設定をリセットし、APT28の不正アクセスを阻止するコマンドを実行した。
また、米司法省は、ネットワーク機器の利用者に対して、次の対策を推奨している。
- 販売終了、あるいはサポート終了となった製品を交換する
- 最新のファームウェアに更新する
- ルーターに設定されているDNSリゾルバーの正当性を確認する。
- ファイアウォールを適切に利用し、リモート管理サービスが意図せず外部に漏えいするこおを防ぐ
TP-Linkはこれらの情報の公開を受け、グローバル(英語)のウェブサイトで、影響を受ける可能性のある製品(カッコ内はバージョン)について発表している。なお、いずれの製品も販売およびサポートが終了しており、日本国内で販売されている製品は少ない。
ルーター
- TL-MR6400(V1/V2)
- Archer C5(V2)
- Archer C7( V2/V3)
- TL-WDR3600(V2)
- TL-WDR4300(V1)
- TL-WDR3500(V2)
- TL-WR740N(V4–V7)
- TL-WR741ND(V4–V6)
- TL-WR749N(BR 6.0/7.0)
- TL-MR3420(V2–V4)
- TL-WR1043ND(V2–V4)
- TL-WR1045ND(RU V2)
- TL-WR840N(V2/V3)
- TL-WR841N/TL-WR841ND(V8–V12)
- TL-WR842N/TL-WR842ND(V2–V4)
- TL-WR845N(V1/V2)
- TL-WR941ND(V5/V6)
- TL-WR945N(V1)
アクセスポイント
- TL-WA801ND(V3/V4)
- TL-WA901ND(V3–V5)
TP-Linkは、影響を受ける可能性がある製品の利用者に対し、サポート対象の製品に買い換えることを推奨するとともに、旧製品の継続利用を避けられない場合には、最新のファームウェアをインストールしたうえで、リモート管理や不要なサービスを無効化し、信頼できる内部ネットワークからのみアクセスできるようにすることなどの対策を強く推奨している。
本件は、セキュリティに問題のある古いルーターが攻撃の対象になり、英米の国家機関が対応した大規模な事例であるが、現時点で、日本への影響に関する情報はない。