サイバーセキュリティ

FBIがロシアGRUによるDSNハイジャック・ルーターネットワークを壊滅

2026年4月8日4分で読めます

FBIと司法省がロシア軍事情報機関のルーターネットワークを解体

米国司法省とFBIは2026年4月7日、ロシアの参謀本部情報総局（GRU）内の部隊が使用していた、侵害されたルーターのネットワークを無効化する裁判所認可の作戦を完了したと発表した。この作戦は、軍、政府、重要インフラ部門の個人および組織に対してDNSハイジャック攻撃を実行するために密かに乗っ取られた、数千台の小規模オフィスおよび家庭用（SOHO）ルーターを標的としていた。

この作戦の規模と手法は、国家支援を受けた攻撃者が見落とされがちな民生用ハードウェアを悪用して、高度な情報収集活動を行う実態を明確に示している。

DNSハイジャック攻撃の仕組み

GRUの部隊は、世界中の家庭や中小企業で広く使用されているブランドであるTP-Link製ルーターの既知の脆弱性を悪用した。デバイスへの侵入後、攻撃者はDNS設定を操作した。DNS（ドメインネームシステム）とは、「example.com」のようなウェブサイトのアドレスを、コンピューターが接続に使用する数値のIPアドレスに変換するプロセスである。これはインターネットのアドレス帳として機能するものだ。

侵害されたルーターのDNS設定を変更することで、GRUはデバイスの所有者に気づかれることなく、自分たちが管理するサーバーを通じてトラフィックをリダイレクトすることができた。この手法は「Actor-in-the-Middle攻撃」として知られている。被害者が正規のウェブサイトにアクセスしようとしたり、アカウントにログインしようとしたりすると、そのリクエストは密かに別のルートに転送された。このトラフィックの多くは暗号化されていなかったため、攻撃者はパスワード、認証トークン、メールの内容を平文で取得することができた。

被害者は必ずしも何か問題のあることをしていたわけではない。彼らは通常のルーターを使い、通常のウェブサイトを訪れていただけだった。攻撃はインフラレベルで発生しており、ほとんどのユーザーや多くのITチームの可視範囲よりも下の層で行われていた。

SOHOルーターが標的にされ続ける理由

小規模オフィスおよび家庭用ルーターは、いくつかの理由から高度な脅威アクターにとって好まれる侵入口となっている。それらは数が多く、メンテナンスが不十分なことが多く、ほとんど監視されていない。民生用ルーターのファームウェア更新は頻繁には行われず、多くのユーザーは初期設定後にデフォルトの認証情報を変更したり、デバイスの設定を見直したりすることはない。

FBIが侵害されたルーターネットワークの対処に介入するのは今回が初めてではない。過去にも複数のメーカーのハードウェアが関与するボットネットインフラを標的にした同様の作戦が実施されている。この攻撃ベクターが繰り返し使われることは、構造的な問題を反映している。ルーターはあらゆるネットワークの境界に位置しているにもかかわらず、その背後にあるデバイスと比べてセキュリティ面での注目度がはるかに低いのだ。

司法省の裁判所認可による作戦では、侵害されたルーターをリモートで変更し、GRUのアクセスを遮断して悪意ある設定を削除した。このような介入は異例であり、司法の承認を必要とするもので、米国当局がこの脅威をいかに深刻に受け止めていたかを示している。

あなたが取るべき対策

自宅や小規模オフィスで民生用ルーターを使用しているなら、この作戦はあなたのハードウェアが知らないうちに情報収集活動の一部になり得るという明確なシグナルだ。この攻撃は、被害者が悪意あるリンクをクリックしたり、何かをダウンロードしたりすることを必要としなかった。必要だったのは、ルーターが脆弱なファームウェアで動作していて、インターネットトラフィックが暗号化されずにそこを通過するということだけだった。

このニュースを受けて、具体的に取るべき対策がいくつかある。

まず、ルーターに利用可能なファームウェア更新がないか確認し、適用すること。ルーターメーカーは既知の脆弱性に対するパッチを定期的に公開しているが、そのパッチはインストールされて初めて有効になる。多くのルーターは設定画面から自動更新を有効にすることができる。

次に、ルーターのデフォルトのログイン認証情報を変更すること。このような作戦で侵害されたデバイスの多くは、公開されているデフォルトのユーザー名とパスワードを使用してアクセスされている。

第三に、インターネットトラフィックがルーターを出た後どのような状態になっているかを考えること。HTTPによる接続、一部のメールプロトコル、特定のアプリ通信など、暗号化されていないトラフィックは、DNSがリダイレクトされている場合に読み取られる可能性がある。DNS-over-HTTPS（DoH）やDNS-over-TLS（DoT）などの暗号化DNSプロトコルを使用することで、DNSクエリ自体が侵害されたルーターやそのトラフィックを中継するサーバーによって傍受・操作されないようにすることができる。

第四に、VPNはデバイスと信頼できるサーバーの間のトラフィックを、ルーターやインターネットサービスプロバイダーに到達する前に暗号化することで、追加の保護層を提供することができる。これにより、ルーターのDNSが改ざんされていた場合でも、トラフィックの内容はあなたと目的地との間に位置するいかなる者にも読み取られない。

これらの対策はどれも複雑でも高価でもないが、GRUの作戦は、暗号化されていないトラフィックとパッチが適用されていないハードウェアが、抽象的なリスクではなく、実際の人々に対する現実の脆弱性をもたらすことを明確に示している。

FBIの介入によって今回の特定のネットワークは無効化されたが、民生用ルーターハードウェアの根本的な脆弱性は依然として残っている。情報を把握し続け、基本的な保護対策を講じることが、消えそうにない攻撃対象領域に対する最も現実的な対応策だ。

// よくある質問

GRUのDNSハイジャック作戦で標的となったルーターはどれですか？

GRUの部隊は、世界中の家庭や中小企業で広く使用されているブランドであるTP-Link製ルーターの既知の脆弱性を悪用しました。

Actor-in-the-Middle攻撃とは何ですか？

Actor-in-the-Middle攻撃とは、攻撃者がデバイスの所有者に気づかれることなく、被害者のインターネットトラフィックを自分たちが管理するサーバーを通じてリダイレクトし、パスワードやメールの内容などの暗号化されていないデータを傍受する手法です。

DNSハイジャック攻撃の標的は誰でしたか？

この攻撃は、軍、政府、重要インフラ部門の個人および組織を標的としていました。

FBIと司法省はどのようにしてGRUのルーターネットワークを無効化しましたか？

司法省は裁判所認可の作戦を実施し、侵害されたルーターをリモートで変更することでGRUのアクセスを遮断し、悪意ある設定を削除しました。

SOHOルーターが脅威アクターにとって魅力的な標的とみなされるのはなぜですか？

SOHOルーターは数が多く、ほとんど監視されておらず、メンテナンスが不十分なことが多い上、ファームウェアの更新も頻繁には行われず、多くのユーザーは初期設定後にデフォルトの認証情報を変更しないためです。

FBIと司法省がロシア軍事情報機関のルーターネットワークを解体

DNSハイジャック攻撃の仕組み

SOHOルーターが標的にされ続ける理由

あなたが取るべき対策

// よくある質問

// 関連記事