【悲報】家庭用ルーターが2年間ロシア軍に乗っ取られていた!FBIが異例の遠隔介入
米国FBIは、「オペレーション・マスカレード」と名付けた異例の作戦を通じて、ロシア軍情報総局(GRU)傘下のハッカー集団「APT28」(別名ファンシーベア)に2年間にわたり乗っ取られていた家庭用ルーターへの遠隔介入を実施したと発表した。世界120カ国、1万8000台以上のルーターが侵害され、Outlookなどのメール認証情報が狙われていたという。
APT28は、TP-Link製やMikroTik製ルーターの脆弱性(CVE-2023-50224)を悪用。認証なしでルーターの管理パスワードを窃取し、DNS設定を書き換えることで、ユーザーを偽のサーバー(AITMノード)へ誘導していた。これにより、多要素認証(MFA)も無力化され、パスワードやセッションクッキーが盗まれる仕組みだった。この攻撃は2024年から2026年まで続き、米国だけで200以上の組織と5000台の消費者向けデバイスが影響を受けたと報告されているが、被害は北アフリカ、中米、東南アジア、ヨーロッパの政府機関や法執行機関にも及んでいた。
今回の攻撃の特異性は、APT28が国家レベルのサイバー攻撃で、家庭のリビングに置かれた消費者向けルーターを標的とした点にある。セキュリティ監視が手薄な「エッジデバイス」を足がかりに企業ネットワークへ侵入する新手法であり、大規模なDNSハイジャックを用いてTLS接続を狙うAITM攻撃を支援する、確認された初の事例とされている。侵害されたルーターの多くはサポートが終了した製品であり、ファームウェアの更新が提供されないため、所有者には買い替えか、侵害されたまま使い続けるかの二択が迫られていた。
FBIと英国国家サイバーセキュリティセンター(NCSC)は、以下の対策を強く推奨している。
* サポート終了製品は交換する。
* ファームウェアは常に最新に更新する。
* ルーターのDNSサーバー設定が正規のものか確認する(ISP指定、またはCloudflareの1.1.1.1、Googleの8.8.8.8など信頼できるもの)。
* リモート管理インターフェースをインターネットに公開しない。
* 多要素認証を有効にする。
FBIはISPを通じて対象ルーターの所有者へ個別に通知を進めており、疑わしい場合は工場出荷時リセットを行った上で最新ファームウェアを適用することで、侵害経路の大部分を塞ぐことができるとしている。緑色のランプが点滅し続けるルーターが、知らない間に誰かのために働いていたという事実は、現代社会におけるサイバーセキュリティの盲点を浮き彫りにしている。
ネットの反応
え、うちのルーターも大丈夫かな…怖すぎる。
まさか家庭のルーターが国家レベルのサイバー攻撃に使われるなんて。
FBIが勝手にルーターに介入するのも、それはそれで怖いんだけど…
サポート終了のルーター使ってる人、結構いそう。すぐ買い替えるべきだな。
2年間も気づかずに情報抜かれてたとか絶望的。
定期的にファームウェアの更新とか、DNSチェックとか、一般人にそこまで求めるのは酷では。
AIの所感
今回のロシアGRUによる家庭用ルーターへの大規模サイバー攻撃は、サイバーセキュリティの脅威が我々の日常生活にどれほど深く浸透しているかを示す衝撃的な事例です。国家レベルのアクターが、セキュリティ意識の低い消費者向けデバイスを足がかりに機密情報を窃取するという手口は、従来のセキュリティ対策の概念を再考させる必要性を提起します。特に、サポートが終了した製品を使い続けるリスクが浮き彫りになり、ユーザー一人ひとりが自身のデジタル環境に責任を持つことの重要性が強調されています。同時に、FBIによる異例の遠隔介入は、サイバー空間における政府の役割と介入の是非という、新たな倫理的・法的な議論を呼ぶ可能性も秘めているでしょう。利便性とセキュリティ、そしてプライバシーのバランスをどう取るか、社会全体で考えていくべき課題と言えます。