当局、Microsoft 365ログインを狙うルーターのDNS乗っ取り「FrostArmada」を封じ込め
国際的な法執行機関と民間のセキュリティ研究チームが協力して、ルーターを乗っ取りローカルDNSを悪用することでMicrosoftアカウント認証情報やOAuthトークンを横取りしていた攻撃キャンペーン「FrostArmada」を遮断した。攻撃は主に小規模オフィス/在宅用(SOHO)ルーターを標的とし、DNS設定を書き換えて攻撃者管理下の仮想プライベートサーバ(VPS)をDNSリゾルバとして使うことで、認証トラフィックを傍受する“ルーター階層での中間者(AitM)”を実現していた。被害の確認・封じ込めにはMicrosoftやLumenのBlack Lotus Labsなどの民間部門、米司法省やFBI、ポーランド政府などが関与したと報告されている。Reuters+1
- 概要
- 被害の規模とターゲット
- 攻撃の仕組み — ルーターを足場にしたDNS乗っ取りとAitM
- 技術的詳細:なぜ被害に気づきにくいのか
- 影響を受けた機器と既知の脆弱性
- 発見と封じ込めの経緯
- 実務的な対策と優先対応手順
- 組織的対応のポイント
- まとめ
概要
2025年後半から確認されていた「FrostArmada」は、ルーターの既知脆弱性や不適切な設定を突いて、デバイスのDNS設定を攻撃者管理下のサーバへ差し替える手口を用いた持続的な諜報活動である。改竄されたDNSは内部ネットワークの端末が認証関連のドメインへ問い合わせを行った際に攻撃者のIPを返し、本来のサービスに見せかけたプロキシを介してログイン情報や発行済みトークンを収集した。攻撃主体はロシア軍情報機関(GRU)に関連付けられるとされる脅威グループAPT28(別名:Fancy Bear/Forest Blizzardなど)であると報告されている。The Hacker News
被害の規模とターゲット
FrostArmadaは2025年12月時点で最大規模に達し、世界120か国で約18,000台の機器が侵害されたとされる。主な標的は政府機関や法執行機関、IT/ホスティング事業者、自前でサーバを運用する組織など、認証情報やトークンを持つ可能性が高い組織に重点的に狙いを定めていた。攻撃は幅広い地域と業種に及び、被害の性質上、被害者本人が気づきにくい点が特徴である。BleepingComputer+1
| 指標 | 内容 |
|---|---|
| 感染台数(最大) | 約18,000台 |
| 波及国数 | 約120か国 |
| 主なターゲット | 政府、法執行機関、IT/ホスティング事業者、サーバ運用組織 |
| 主な影響ルーター | MikroTik、TP-Link(および一部旧型Fortinet等) |
(上表は公開された報告を基に要点を整理したものである。)
攻撃の仕組み — ルーターを足場にしたDNS乗っ取りとAitM
攻撃者はまずインターネット公開されているSOHOルーターや古いファイアウォール製品の脆弱性または未設定の管理ポートを悪用して管理権限を奪う。侵害後にルーターのDNS設定を書き換え、攻撃者が用意したVPS群をDNSリゾルバとして割り当てる。ルーターは内部ネットワークへDHCP経由で新しいDNS設定を配布し、端末側は意識することなく攻撃者のリゾルバへDNSクエリを投げるようになる。攻撃者は興味のある認証関連ドメインだけを選別して偽の応答を返すフィルタリングを行い、該当するトラフィックのみを自らのAitMプロキシへ誘導していた。結果として正規のサービスに見えるが、実際には攻撃者の中間サーバで通信が終端され、TLS警告を無視したユーザーや自動化されたクライアントから認証情報やトークンが流出した。Microsoft
技術的詳細:なぜ被害に気づきにくいのか
被害者が目にする可能性のある唯一の明確な兆候は、ブラウザやアプリが示す無効なTLS証明書の警告だ。しかし多くの利用者はこの警告を誤認し、業務のために警告を無視してしまうことがある。さらに、攻撃者は標的に関連性の高いドメインだけを選別して差し替えるため、日常的なアクセスでは目立たず、ネットワーク運用者やエンドユーザーの通常運用ログにも埋もれやすい。またこの手法は実行ファイルを端末に配布しない「ファイルレス」的な側面があり、エンドポイントのマルウェア検知だけでは発見が難しい。The Hacker News
影響を受けた機器と既知の脆弱性
報告では主にMikroTikやTP-Link製のSOHOルーター、さらに一部の古いFortinet機器やNethesis製品が悪用された。これらは管理インターフェースが外部に露出していたり、未適用のファームウェアや既知の認証バイパス脆弱性を含んでいた事例が確認されている。ルーターの設定変更はリモートから自動化され、数千規模での差し替えが短期間に行われたと見られる。BleepingComputer+1
発見と封じ込めの経緯
Microsoftのセキュリティ部門やLumenのBlack Lotus Labsなどの研究チームが異常なDNS応答や認証失敗のパターンを解析し、攻撃の分布と侵害パターンを可視化した。これらの知見は法執行機関への技術的インプットとなり、米司法省やFBIをはじめ複数国の協力で攻撃インフラの遮断および感染機器の復旧支援が行われたと報じられている。現段階で多くの悪性インフラは無効化された一方、個々の組織や家庭内のルーターは引き続き手動での確認と再設定が必要である。Reuters+1
実務的な対策と優先対応手順
被害の性質上、ネットワーク管理者と一般ユーザー双方に実行可能な対応が求められる。まずルーターの管理インターフェースがインターネットに公開されていないか確認し、公開されている場合はアクセス制限(IP制限・管理ポートの閉鎖)を行うこと。次にルーターのファームウェアを最新化し、既知脆弱性の修正が適用されていることを確認する。ルーターのDNS設定が信頼できるプロバイダやパブリックDNS(例:プロバイダ指定、Google DNS、Cloudflare DNSなど)になっているかを確認し、不要なDHCPオプションによる配布を監査する。さらに被疑端末では二要素認証(MFA)の有効化、既存セッションやOAuthトークンの強制無効化(必要に応じてパスワードリセットとトークンリフレッシュ)を実施することが推奨される。最後にネットワーク内のTLS警告や証明書エラーを軽視しない運用を徹底する。本文中で示した対策は、迅速な初動を可能にする基本方針である。Microsoft
組織的対応のポイント
被害の発見が遅れる要因として、SOHO機器が企業の脆弱な境界点となっている現実がある。クラウドサービスの認証を保護するために、組織はエンドユーザーのルーター管理状況に関するガイドラインを発行し、在宅勤務環境を含めたセキュリティチェックリストを定期的に実施すべきである。IT部門は被疑ネットワークのDNS応答を遠隔から検査するスクリプトやログ集約を準備し、異常なリゾルバ応答や頻発するTLSエラーを早期に検知する運用監視を強化することが望ましい。
まとめ
今回のFrostArmada事案は、ルーターという“見落とされがちな境界機器”が国家的な諜報活動に組み込まれ得ることを示した。攻撃者はソフトウェアの脆弱性だけでなく、ネットワーク運用の慣習や警告の軽視といったヒューマン要素も巧妙に突いている。組織は機器の保守・設定管理、MFAの徹底、証明書警告の扱いに関する運用ルールを見直すべきであり、個人ユーザーもルーターのファームウェア更新や管理インターフェースの露出確認といった基本的な防御策を怠らないことが重要である。今回の封じ込めは一歩前進だが、同様の手法は今後も繰り返される可能性があるため、恒常的な監視と早期対応体制の整備が求められる。Reuters+1
