英国の治安当局は、ロシア軍と関連のあるグループが、大規模なサイバー諜報活動の一環として、不正アクセスを受けたSOHO(小規模オフィス/ホームオフィス)用ルーターのユーザーをスパイしていることを突き止めた。マイクロソフトのブログでは、これらの攻撃の技術的な詳細について詳しく解説している。
このグループは、ここではAPT28と呼ぶが、「Fancy Bear」、「BlueDelta」、「Forest Blizzard」などの名称でも知られており、侵害したルーターのDNS設定を変更して、そのトラフィックを自らが管理するサーバー経由で送信させることで、ユーザーを監視している。
ドメインネームシステム(DNS)は、インターネットドメイン名を特定し、それをインターネットプロトコル(IP)アドレスに変換するための仕組みです。通常、デバイスはダイナミックホスト構成プロトコル(DHCP)を使用して、ルーターからネットワーク設定を取得します。
攻撃者がルーターのDNS設定を改ざんできれば、ユーザーに気付かれることなくトラフィックを自身が制御するインフラへ誘導し、ログイン情報を収集したり、場合によってはユーザーと実際のサービスの間に割り込んでアクセスしたりすることが可能になります。そのため、この攻撃キャンペーンは、認証情報の窃取だけでなく、Microsoft 365やその他のクラウドトラフィックに対する標的型傍受さえも支援し得るのです。
FBIの広報発表によると、APT28は:
「…パスワード、認証トークン、および通常はSSL(Secure Socket Layer)やTLS(Transport Layer Security)による暗号化で保護されている電子メールやウェブ閲覧履歴などの機密情報を収集した。」
FBIによると、このグループは当初、米国および世界中に広範な網を張り巡らせた後、軍事、政府、重要インフラに関する情報にアクセスできる人物を標的として絞り込んだという。
NCSCの勧告では、特定のTP-Link製モデル(WR841N)が指摘されています。このモデルには既知の脆弱性があり、認証されていない攻撃者が、特別に細工されたHTTP GETリクエストを通じて、ユーザー名やパスワードなどの情報を入手することが可能となっています。このルーターモデルは一般消費者や中小企業向けに広く販売されていますが、大手インターネットサービスプロバイダーが標準機器として採用することは通常ありません。また、この記事には、APT28の標的となっているその他のTP-Link製ルーターモデルのリストも掲載されていますが、そのリストは長いが網羅的なものではありません。
マイクロソフトの脅威インテリジェンス部門によると、Forest Blizzardの悪意あるDNSインフラストラクチャの影響を受けた組織は200以上、消費者向けデバイスは5,000台以上に上ることが判明した。
ルーター禁止をめぐる議論
数週間前、我々は、FCCが「米国の国家安全保障、あるいは米国人の安全と保安に対する容認できないリスク」を理由に、製造業者が免除を取得しない限り、外国製ルーターの輸入を事実上停止するという決定について論評した。
APT28の行動は、FCCが阻止しようとしているリスクの性質を如実に示しているが、同時に我々の主張を裏付けるものでもある。すなわち、ルーターの禁止やサプライチェーン規制をめぐる議論はしばしば原産国に焦点が当てられがちだが、より重要な問題は、実際にそのデバイスが安全かどうかという点にある。 もしルーターが脆弱なデフォルト設定、不十分なアップデートサポート、あるいは分かりにくいセットアップ手順を備えて出荷されるならば、製造国に関わらず標的となってしまいます。攻撃者にとって完璧さは必要ありません。彼らに必要なのは、スパイ活動や通信の転送を行うための大規模で目立たないインフラを構築するのに十分な数の、無防備なデバイスだけなのです。
できること
設定が正しいかどうかを確認するには、デバイスによって大きく異なる場合があるため、一般的な手順しかお伝えできません。ただし、通常はこの方法でうまくいきます:
ルーターのDHCP設定がISPの意図した内容と一致しているかを確認する方法:
- お使いのデバイスで現在のDHCP情報を確認してください。
自宅のネットワークに接続されたPCやスマートフォンで、ネットワーク設定を開き、お使いのデバイスが使用しているIPアドレス、サブネットマスク、デフォルトゲートウェイ、およびDNSサーバーを確認してください。 - ルーターにログインし、WAN/インターネット設定を開きます。
ルーターのWebインターフェースで、「ステータス」または「インターネット」ページを確認し、ISPから割り当てられたIPアドレスと、設定されているDNSサーバーを確認してください。 - ご利用のISPが提供する資料や説明内容と照らし合わせてください。
ISPのサポートページを確認するか、サポートに問い合わせて、以下の点を確認してください。接続にDHCPとPPPoEのどちらを使用すべきか、パブリックIPの割り当て範囲はどの程度か、通常どのDNSサーバーが提供されているかなどです。大きな不一致(例えば、別の国のDNSサーバーや、不明な組織のDNSサーバーが指定されている場合など)が見られる場合は、さらに調査を行う必要があります。 - カスタムDNSを使用する場合は、その設定を記録しておいてください。
意図的に別のDNS(プライバシーやセキュリティを重視したリゾルバーなど)を使用する場合は、その旨を書き留め、ルーターやクライアントが依然として指定したアドレスを使用しているかどうかを定期的に確認してください。
その他の措置
予算に余裕があり、まだアップグレードしていないのであれば、現行モデルが店頭に並んでいるうちにWi-Fi 7へアップグレードし、将来に備えておきましょう。
少なくとも次のことを行う必要があります:
- ルーターのデフォルトのユーザー名とパスワードを、推測されにくいものに変更してください。
- ベンダーのウェブサイトで最新情報を確認し、サポート終了日を確認した上で、ファームウェアを最新バージョンに更新してください。
- 可能な限り、インターネットからのリモート管理インターフェースを無効にしてください。
- すべてのユーザーは、Webブラウザやメールクライアントに表示される証明書に関する警告を慎重に検討する必要があります。これらは、セキュアな接続に問題があることを示しており、本物のサイトと通信できていない可能性があるからです。
技術に自信のあるユーザーであれば、ベンダー提供のファームウェアをOpenWrtやDD-WRTなどのオープンソースの代替ファームウェアに置き換えることで、ルーターの安全な稼働期間を延ばすことができます。しかし、これには保証が無効になる、あるいはデバイスが動作しなくなるなどのリスクが伴います。トラブルシューティングに慣れている場合のみ、この作業を行うか、専門家に依頼してください。
米国市民が、ロシアによるサイバー侵入の標的となった、あるいは被害を受けた疑いがある場合は、最寄りのFBI支局にその事実を報告するか、IC3に苦情を申し立てるよう求められています。その際、影響を受けたルーターに関する詳細(デバイスの種類やDHCPの設定など)を必ず提供してください。
誰にも見られていないかのように、自由に閲覧してください。
Malwarebytes Privacy VPN 接続をVPN 、ユーザーの行動を一切記録しません。だから、次に読む記事が自分事のように感じられることはありません。無料でお試しください →
