VPNと暗号化

ロシアのハッカーが家庭用ルーターのDNS設定を乗っ取っている

2026年4月8日4分で読めます

ロシア軍ハッカーが家庭・オフィス用ルーターを標的に

サイバーセキュリティ研究者の新たな報告によると、ロシア軍に関連する高度なDNSハイジャックキャンペーンが5,000台以上の一般消費者向けデバイスと200以上の組織を侵害したことが明らかになった。この攻撃を仕掛けた脅威アクターは「Forest Blizzard」（APT28またはStrontiumとも呼ばれる）として知られており、ロシア軍事情報機関との関連が指摘され、長年にわたって注目度の高い侵入活動に関与してきた。

攻撃の手口はシンプルだが、非常に効果的だ。個々のコンピューターやスマートフォンを直接狙うのではなく、このグループは家庭用および小規模オフィス用ルーターのDNS設定を改ざんする。ルーターが一度侵害されると、それに接続されているすべてのデバイス——ノートパソコン、スマートフォン、スマートテレビ、業務用コンピューター——が潜在的な標的となる。

DNSハイジャックの実際の仕組み

DNS（ドメインネームシステム）は、インターネットの電話帳に例えられることがある。ブラウザにウェブサイトのアドレスを入力すると、デバイスはDNSサーバーに問い合わせを行い、接続に必要なIPアドレスを取得する。通常、その問い合わせはインターネットサービスプロバイダーが提供するものなど、信頼できるDNSサーバーに送られる。

攻撃者がルーターのDNS設定を改ざんすると、これらの問い合わせが攻撃者の管理するサーバーへとリダイレクトされる。そこから攻撃者は、ユーザーがアクセスしようとしているサイトを正確に把握し、場合によっては実際のトラフィックを傍受することができる。研究者たちは、この手法によってForest Blizzardが侵害されたルーターに接続されたデバイスから、メールやログイン認証情報を含む平文データを取得できたことを確認している。

多くのユーザーがHTTPSサイトや暗号化メールサービスを使用しているだけで通信が保護されていると思い込んでいるため、これは特に深刻な問題だ。しかし、ルーターレベルでDNSが乗っ取られた場合、攻撃者はトラフィックの流れを把握でき、条件によってはその保護を無効化することができる。

Forest Blizzardとは何者か？

Forest Blizzard（APT28およびStrontiumという別名でも知られる）は、ロシアのGRU軍事情報機関に帰属するとされている。このグループは、ヨーロッパと北米全域の政府機関、防衛関連企業、政治組織、重要インフラへの攻撃に関与してきた。

今回のキャンペーンは、一般消費者向けインフラへと戦術をシフトしたことを示している。家庭用および小規模オフィス用ルーターは、セキュリティの観点からしばしば見落とされがちだ。ファームウェアの更新がほとんど行われず、多くの場合デフォルトの認証情報のまま使用され、ITセキュリティチームによる監視対象にもなっていない。そのため、大規模な通信傍受を目論むグループにとって、魅力的な侵入経路となっている。

ルーターを侵害することで、攻撃者は持続的なアクセスを維持することもできる。個々のデバイスからマルウェアが除去されたとしても、侵害されたルーター自体がクリーニングされ再設定されるまで、トラフィックのリダイレクトは続く。

あなたへの影響

標準的な家庭用または小規模オフィス用ルーターを使用しているなら、たとえ政府職員でなくても、スパイ活動の標的になりそうもないと思っていても、このキャンペーンはあなたにも直接関係する。5,000台以上の一般消費者向けデバイスという規模は、標的の選定が精密というよりも広範囲にわたっていることを示唆している。

このニュースを受けて、実践する価値のある対策がいくつかある。

ルーターのDNS設定を確認する。 ルーターの管理パネル（通常は192.168.1.1または192.168.0.1）にログインし、表示されているDNSサーバーが自分が認識し信頼できるものかどうかを確認する。見覚えのないIPアドレスが表示されており、自分で設定した覚えがない場合は、危険信号だ。

ルーターのファームウェアを更新する。 ルーターのメーカーは、セキュリティの脆弱性を修正するファームウェアアップデートを定期的にリリースしている。多くのルーターでは、管理パネルから直接アップデートを確認できる。ルーターが数年前のもので、メーカーのサポートが終了している場合は、買い替えを検討する。

ルーターのデフォルト管理者パスワードを変更する。 デフォルトの認証情報は広く公開されており、攻撃者が最初に試みるものの一つだ。ルーターの管理インターフェースに強力でユニークなパスワードを設定することで、侵入の壁を大幅に高めることができる。

DNSリーク保護機能付きのVPNを使用する。 VPNはDNSクエリを含むトラフィックを、ローカルネットワーク外のサーバーへの暗号化トンネルを通じてルーティングする。ルーターのDNSが改ざんされていても、適切なDNSリーク保護機能を持つVPNを使用すれば、クエリが攻撃者のサーバーではなくVPNプロバイダーのサーバーで解決されるようになる。これによって侵害されたルーターが安全になるわけではないが、攻撃者が観察・傍受できる内容を大幅に制限できる。

独自に暗号化DNSの使用を検討する。 DNS over HTTPS（DoH）やDNS over TLS（DoT）をサポートするサービスは、VPNなしでもDNSクエリを暗号化し、傍受やリダイレクトを困難にする。

Forest Blizzardのキャンペーンは、ネットワークセキュリティがルーターから始まるということを改めて示している。家庭やオフィスをインターネットに接続するデバイスは、デスク上のコンピューターやスマートフォンと同じ注意を払う価値がある。それらを最新の状態に保ち、適切に設定し、監視することは任意ではなく、その他すべての基盤となるものだ。最近ルーターの設定を確認していないなら、今がその好機だ。

// よくある質問

DNSハイジャックキャンペーンの背後にいるのは誰か？

この攻撃は、APT28またはStrontiumとしても知られるForest Blizzardに関連しており、ロシアのGRU軍事情報機関に帰属するとされる脅威アクターだ。このグループは政府機関、防衛関連企業、政治組織を標的とした注目度の高い侵入活動に長年関与してきた。

侵害されたデバイスと組織の数は？

サイバーセキュリティ研究者によると、このキャンペーンは5,000台以上の一般消費者向けデバイスと200以上の組織を侵害した。

ルーターレベルでのDNSハイジャックはどのような仕組みか？

攻撃者はルーターのDNS設定を改ざんし、クエリを自分たちが管理するサーバーへリダイレクトする。これにより、接続されたデバイスがどのサイトにアクセスしようとしているかを把握し、トラフィックを傍受できる可能性がある。侵害されたルーターに接続されているすべてのデバイスが潜在的な標的となる。

家庭用および小規模オフィス用ルーターがこの種の攻撃に特に脆弱なのはなぜか？

家庭用および小規模オフィス用ルーターはファームウェアの更新がほとんど行われず、多くの場合デフォルトの認証情報のまま使用され、ITセキュリティチームによる監視対象にもなっていないため、格好の標的となっている。これらの要因により、管理された企業用機器と比べて侵害しやすい。

HTTPSや暗号化メールを使用すれば、この攻撃から保護されるか？

必ずしもそうではない。ルーターレベルでDNSが乗っ取られた場合、攻撃者はトラフィックの流れを把握でき、条件によってはその保護を無効化できるためだ。研究者たちは、Forest Blizzardが影響を受けたデバイスからメールやログイン認証情報を含む平文データを取得できたことを確認している。

ロシア軍ハッカーが家庭・オフィス用ルーターを標的に

DNSハイジャックの実際の仕組み

Forest Blizzardとは何者か？

あなたへの影響

// よくある質問

// 関連記事