ロシアのAPT28が引き続きルーターを標的に:進行中のDNSハイジャッキングについて英国が警告
The Register – Tue 7 Apr 2026
ロシアグループAPT28が、小規模オフィスやホームオフィス(SOHO)向けルーターの脆弱性を悪用し、DNSサーバーの設定を変更して、ターゲットユーザーを自らが管理するWebサイトへリダイレクトさせているという。英国の国家サイバーセキュリティセンター(NCSC)が4月7日にアドバイザリを公開し、この進行中のDNSハイジャッキング攻撃について警告を発している。
APT28はロシア軍参謀本部情報総局(GRU)との繋がりが指摘されているグループで、Fancy Bear、Forest Blizzardなどの呼称でも知られる。NCSCによれば、同APTはTP-LinkやMikroTik製のSOHOルーターのDNSサーバーの設定を変更。多くの場合、こうした設定変更によって下流にあるノートパソコンやスマートゴンなどのデバイスにも設定が引き継がれ、悪意あるWebサイトへのリルーティングが可能な状態になるという。
APT28は多くの場合、Outlookなどの広く使われるサービスを検索するユーザーを、自身の支配下にある偽サイトへリルーティングする。これらのサイトはOutlookを模倣した偽サイトで、ユーザーがログインしようと自らの認証情報を入力すると、これらの情報は攻撃者の手に渡ることになる。
NCSCによれば、APT28がDNSポイズニングのために悪用しているルーターの1つが、TP-LinkのWR841Nというモデル。同モデルへの攻撃では、脆弱性CVE-2023-50224が悪用されている可能性が高いとされる。同じく標的となっている同社製のその他モデルについても、NCSCのアドバイザリにおけるIoCセクションで一覧が共有された。
一方で、別の攻撃群ではMikroTik製のルーターも標的になっているとNCSCは指摘。その多くはウクライナに所在しており、これらのデバイスを侵害することによってロシアは軍事インテリジェンス的な価値のあるデータを集められるようになるものとみられている。
一方、4月7日にはマイクロソフトもAPT28の攻撃に関する独自のレポートを公開。同グループが大規模な標的の上流に位置するエッジデバイス(ルーター)を侵害することを目論んでいた可能性が高いと付け加えた。マイクロソフトによると、上流のルーターを侵害することができれば、攻撃者は管理や管理が不十分なアセットを悪用して企業環境へ侵入できるようになるほか、DDoS攻撃やマルウェアの展開などの活動にも発展する恐れがあるという。同社は、APT28の悪意あるDNSインフラの影響を受けた200以上の組織と5,000台の消費者向けデバイスを特定したと述べている。ただし、テレメトリデータからは、マイクロソフトが所有する資産やサービスへの侵害は確認されなかったとされる。
英NCSCの運用責任者であるPaul Chichester氏は、NCSCのアドバイザリに記載されている手口について十分に理解し、対策の指針に従うよう組織に呼びかけている。