遠く離れた場所で、数千もの日常的なデバイスに影響を与える、静かなネットワーク侵入は、国家支援によるデジタル戦争の恐ろしさを改めて突きつける。
Lumen TechnologiesのBlack Lotus Labsは、悪名高いロシア軍情報機関であるAPT28が主導する、巧妙かつ大規模なキャンペーンを明らかにした。このキャンペーンにより、世界中で推定1万8千から4万台のコンシューマー向けルーターが侵害されたと見られている。主に120カ国に分散するMikroTikとTP-Link製デバイスが標的となり、パスワードや認証トークンといった機密情報の窃取を目的とした、秘密裏の諜報活動インフラとして悪用されているのだ。
これは新しい手法でも、APT28(Pawn Storm、Sednit、Forest Blizzardなど、紛らわしいほどの別名を持つ)というグループ自体も、目新しい存在ではない。20年以上にわたり磨き上げられたこのグループの手口は、一貫して世界中の政府や著名な組織を標的としてきた。しかし、今回展開された手法の規模と具体性は、鋭い分析の目を向けさせるに値する。
諜報活動とどう繋がるのか?
ハイジャックされたルーターは、単なる受動的な伝達経路ではない。APT28のツールキットの一部として能動的に機能しているのだ。侵害されたデバイスのごく一部はプロキシとして機能し、外国のministries、法執行機関、その他の政府機関が所有する、はるかに大規模なルーターネットワークへのグループの接続を隠蔽する。これにより、APT28は対象を監視する際に、巧妙な隠蔽層を設けることができる。さらに、Microsoft 365ドメインを含む重要なウェブサイトのDNS設定を操作し、ユーザーのトラフィックを本来の宛先に到達する前に悪意のあるサーバーへ迂回させる能力も示している。これは、ルーターレベルで、ローカルネットワーク全体に影響を与える、古典的な中間者攻撃(man-in-the-middle)の領域だ。
特に懸念されるのは、APT28の擬態能力の進化だ。Black Lotus Labsは、LLM『LAMEHUG』のような最先端ツールと、「実績のある、長年の技術」を組み合わせる同社の巧みさを指摘している。この二面性は、高度な持続的脅威(APT)の特徴である。彼らは、公に暴露された後でも、パッチが適用されていない古いルーターモデルを悪用するといった、古い手口に戻ることを恐れない。これは、彼らの目標達成に向けた執拗な追求を示している。
「LLM『LAMEHUG』のような最先端ツールと、実績のある、長年の技術を組み合わせることで知られるForest Blizzardは、防御側を出し抜くために常に戦術を進化させている」とBlack Lotusの研究者は述べている。「彼らの過去および現在のキャンペーンは、技術的な洗練さと、公に暴露された後でさえ古典的な攻撃方法を再訪する意欲の両方を浮き彫りにしており、この攻撃者による世界中の組織への継続的なリスクを強調している。」
攻撃ベクトルは、更新されていない古いルーターファームウェアに存在する既知のセキュリティ脆弱性を悪用することにかかっている。アクセスが得られると、攻撃者はDNS設定を変更し、Dynamic Host Configuration Protocol(DHCP)を使用して、これらの変更を接続されたワークステーションに伝播させる。その結果、ユーザーが正規のサイトにアクセスしようとすると、接続は不可視のうちに攻撃者のインフラストラクチャに転送され、認証情報の窃取や、さらなるネットワーク侵入を可能にする。
侵害されたインフラの市場力学
市場の観点から見ると、これはインターネットのしばしば軽視されるエッジ――数百万もの家庭用および小規模オフィス用ルーター――における、重大な脆弱性を浮き彫りにしている。これらのデバイスは、深いITセキュリティの専門知識なしに個人や小規模ビジネスによって購入されることが多く、広範で分散した攻撃面を形成している。APT28のような脅威アクターにとっての金銭的インセンティブは明確だ。侵害された認証情報は、企業のネットワークへのアクセスを解除したり、金融詐欺を可能にしたり、さらなる諜報活動を促進したりして、大きなリターンをもたらす可能性がある。
このキャンペーンはまた、より広範なトレンド――国家によるサイバー能力の軍事化の増加――を強調している。GRUの関与は、従来の防御を回避するデジタル諜報ツールへの戦略的、長期的な投資を意味する。侵害されたデバイスの数から、機会的なハッキングをはるかに超えた、高度に自動化され協調された努力であることが示唆される。
私の見解では?『LAMEHUG』のようなLLMは最先端のように聞こえるが、ここでの真の脅威は、洗練されたツールの組み合わせと、パッチ未適用という永遠の脆弱性にある。GRUは単なるハイテク集団ではない。彼らは現実的だ。10年前の脆弱性が、広くパッチ適用されていなければ、依然として金の鉱脈であると彼らは知っている。ましてや、AIを使ってエクスプロイトチェーンを最適化できるとなればなおさらだ。これらのルーターを提供する企業――そしてその顧客――には責任がある。これは単なる「セキュリティ問題」ではなく、ベンダーとユーザー双方からの即時かつ持続的な注意を必要とする、根本的なインフラリスクなのだ。
インターネット接続の基盤インフラに対するこの継続的な脅威は、単なる受動的なパッチ適用以上のものを要求する。メーカーには、よりセキュア・バイ・デザインなデバイスの構築を、エンドユーザーにはファームウェアアップデートを優先することを、プロアクティブなアプローチで求める。そうすることで、私たちのデジタル生活の、見過ごされがちな隅々を、より魅力のない標的としなければならない。
🧬 関連インサイト
よくある質問
最もリスクの高いルーターの種類は?
主にMikroTikとTP-Linkの旧モデルで、特に最新のセキュリティパッチが適用されていないものが危険だ。攻撃者は既知の脆弱性を悪用している。
APT28とは?
APT28は、ロシア軍情報機関GRUに関連付けられた、非常に活発で洗練された脅威グループだ。世界中の政府や組織を標的とした広範なサイバー攻撃で知られている。
私のインターネットトラフィックにどう影響する?
ルーターが侵害された場合、インターネットトラフィックが悪意のあるサーバーを経由するようにリダイレクトされる可能性がある。これは、パスワードや金融情報を盗んだり、偽のウェブサイトにリダイレクトしたりするために使用され、オンラインセキュリティとプライバシーに影響を与える。
