サイバーセキュリティ マルウェア サイバー攻撃 ロシア Microsoft Office 認証トークン DNSハイジャック APT28 Forest Blizzard GRU

セキュリティ専門家らは、ロシア軍諜報部に関連するハッカー集団が、古いインターネットルーターの既知の脆弱性を悪用して、Microsoft Officeユーザーの認証トークンを大量に収集していたと発表した。

このスパイ活動により、ロシア政府支援のハッカーは、マルウェアやコードを一切使用することなく、18,000以上のネットワークから認証トークンを密かに奪取していたという。Microsoftは本日発表したブログ記事で、ロシア支援の脅威アクター「Forest Blizzard」(別名APT28、Fancy Bear)によって構築された巧妙ながらも単純なスパイネットワークに、200以上の組織と5,000台の消費者向けデバイスが巻き込まれていたと明らかにした。

Forest Blizzardの正体と過去の活動

Forest Blizzardは、ロシア連邦軍参謀本部情報総局(GRU)に属する軍諜報部隊に関連するハッカー集団とされている。APT28は、2016年に米国大統領選挙への干渉を目的として、ヒラリー・クリントン陣営や民主党全国委員会、民主党議会選挙委員会を標的にしたことで知られる。

標的となったルーターと攻撃手法

Lumenのセキュリティ部門であるBlack Lotus Labsの調査によると、Forest Blizzardの活動は2025年12月にピークを迎え、主にサポート終了やセキュリティ更新が遅れたルーター18,000台以上が攻撃対象となった。これらのルーターの多くは、中小規模オフィスや自宅オフィス向けに販売された古いMikrotikやTP-Linkの機器だった。

攻撃者は、これらのルーターにマルウェアをインストールするのではなく、既知の脆弱性を悪用してDNS設定を改ざんし、自身が管理するDNSサーバーへと誘導した。英国の国家サイバーセキュリティセンター(NCSC)によると、DNSはユーザーがウェブサイトにアクセスする際に、IPアドレスではなく使い慣れたドメイン名を使用できるようにする仕組みだ。DNSハイジャック攻撃では、このプロセスに介入し、ログイン情報やその他の機密情報を盗むための悪意のあるウェブサイトにユーザーを誘導する。

認証トークンの横取りとその影響

Forest Blizzardによる攻撃を受けたルーターは、攻撃者が管理する仮想プライベートサーバーを指すDNSサーバーに再設定された。これにより、攻撃者はローカルネットワーク上の全ユーザーに悪意のあるDNS設定を拡散し、ユーザーが送信するOAuth認証トークンを傍受できるようになった。

認証トークンは通常、ユーザーがログインに成功し、多要素認証を完了した後に送信されるため、攻撃者はユーザーの認証情報やワンタイムパスワードを盗むことなく、被害者のアカウントに直接アクセスすることが可能となった。

「誰もがスマートフォンやモバイルデバイスに洗練されたマルウェアを仕掛けることを想像しますが、この攻撃者らはマルウェアを使用しませんでした。古典的で地味な手法ですが、非常に効果的です」
— Black Lotus Labsのセキュリティエンジニア、ライアン・イングリッシュ

被害を受けた組織と今後の対策

Lumenの報告によると、Forest Blizzardは主に政府機関(外務省、法執行機関、サードパーティのメールプロバイダーなど)を標的にしていた。この攻撃は、マルウェアを使用しないため検知が困難であり、従来のセキュリティ対策では防ぐことが難しいと専門家は指摘する。

専門家らは、企業や個人が使用するルーターのファームウェアを最新の状態に保ち、古いデバイスの使用を控えること、またDNS設定の異常な変更に注意を払うことを推奨している。

出典: Krebs on Security
イラン情勢と中国メディア:エネルギー危機における「新エネルギー」戦略の台頭
← 前へ

イラン情勢と中国メディア:エネルギー危機における「新エネルギー」戦略の...

 アリゾナ州で急増するSNAP受給者の削減、全米へ波及の懸念
次へ →

アリゾナ州で急増するSNAP受給者の削減、全米へ波及の懸念