APT28、SOHO/拠点ルーターのDNSを書き換え、認証情報とセッションを狙う——境界の盲点が“踏み台”になります

今日の深掘りポイント

• 攻撃者はエンドポイントではなく“ネットワークの入口”に手を伸ばしています。ルーター上のDHCP/DNS設定を書き換えることで、組織の監視から滑り落ちる形で認証情報を刈り取れるからです。
• DNSハイジャックは必ずしもドメイン乗っ取りを要しません。利用者環境のリゾルバを乗っ取り、正当なFQDNを攻撃者のIPに解決させるだけで、AiTM型フィッシングやセッション窃取の足場になります。
• “広く薄く侵入して、価値のある標的に絞り込む”という作戦運用が見えます。SOHO・支社・在宅という非管理領域からID基盤（O365/SSO/IDP）にアプローチする流れを前提に、監査と抑止を設計すべきです。
• 検知は「どのDNSを使っているか」が起点です。クライアントから見たDNS到達先の可視化と許可リスト化、DHCPオプションの監査、そしてルーター自体の完全なライフサイクル管理が肝になります。
• フィッシング耐性の低いMFAは迂回され得ます。FIDO2/WebAuthnとセッション保護（トークン継承の抑止、短寿命化、リフレッシュトークン一括失効手順）を“標準”に格上げする判断が要ります。

はじめに

英NCSCが、ロシアのAPT28（通称Sofacy、GRU 26165部隊に関連）が脆弱なルーターを悪用し、DNSハイジャックを実行していると警告しました。要諦はシンプルです。ルーターのDHCP/DNS設定を改ざんし、利用者端末の名前解決を攻撃者が支配するDNSに向ける——それだけで、正規サイトへのアクセスを攻撃者の仲介サーバーに誘導し、パスワードやセッション・トークンを引き抜けてしまいます。NCSCは、この手口を公的に再確認し、広範囲の標的に対する実害リスクを指摘しています［参考: 英NCSC］。

参考情報:

• 英NCSC「APT28 exploit routers to enable DNS hijacking operations」https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations

深掘り詳細

事実整理（プライマリ情報）

• APT28が、脆弱なルーターの設定を改ざんし、クライアントのDNSクエリを攻撃者が制御するDNSサーバーへ誘導する手口を運用しています。NCSCは、当該手口により利用者のパスワードや認証トークンが窃取され得る点を明確化しています［英NCSC］。
• 書き換えは主に、ルーターの管理インターフェース経由（既知脆弱性の悪用、初期パスワード・弱いパスワード、WAN側のリモート管理露出など）で行われると推測されます。改ざん対象は、WAN側のリゾルバ指定、LAN側に配布されるDHCPオプション（Option 6のDNSサーバーなど）や内蔵DNSフォワーダの設定であるケースが典型です。
• 本件は“影響力の大きい新事実”というより“確立した手口の継続運用”というトーンです。だからこそ即応が必要です。検知と改善の余地が組織側に残っている分野だからです。

出典:

• 英NCSC「APT28 exploit routers to enable DNS hijacking operations」https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations

編集部のインサイト（なぜ今これが効くのか）

• ルーターは“エンドポイントでもサーバーでもない”ため、EDR/EPPやSIEMの可視化範囲からこぼれがちです。ここを起点にDNSを書き換えると、被害はユーザー空間（ブラウザとID基盤）で発現します。境界機器のセキュリティ運用を甘く見る文化的負債を突く設計です。
• AiTM（Adversary-in-the-Middle）とDNSハイジャックの相性は抜群です。メールに依存しない（フィッシングゲートの外側から来る）点が、現在広く導入されているメール防御をバイパスします。セッション継承やリフレッシュトークンの悪用に接続すると、MFAを“通過”してから権限を横取りできます。
• 技術的に防げるポイントは二層あります。第一に“どのDNSを使えるか”をネットワークで制御すること（クライアントからの53/udp,tcpの外出先を制限、DoH/DoTの企業配信）。第二に“ID側の耐性”を高めること（FIDO2/WebAuthn、トークン寿命の短縮と継承抑止）。どちらか片方では不十分です。
• メトリクス観点では、成立確度と即時性が高く、運用面のアクションに直結します。つまり、攻撃可能性は高い一方で、防御側にも即効性のある手当てが残っています。組織の成熟度に応じて、短期の“封じ込め”と中長期の“構造改革”を同時進行にすべき局面です。

脅威シナリオと影響

以下は、NCSCの注意喚起を踏まえた上での想定シナリオ（編集部の仮説）です。MITRE ATT&CKの観点を併記します。

• シナリオ1: 在宅勤務者ルーターのDNS改ざん → ID基盤へのAiTM

  • 入口: 既知脆弱性の悪用やWAN側リモート管理の露出（ATT&CK: Exploit Public-Facing Application, T1190 相当の文脈）
  • 設定改ざん: ルーターのDHCP Option 6を書き換え、社内SaaS（例: SSO/メール）への名前解決を攻撃者DNSへ（ATT&CK: Modify Configuration に相当）
  • 搾取: ブラウザ通信を攻撃者中継に誘導し、資格情報・セッションを取得（ATT&CK: Adversary-in-the-Middle, T1557 / Steal Web Session Cookie, T1539）
  • 影響: ID乗っ取りによるSaaSデータ窃取、BEC、二次侵入（ATT&CK: Valid Accounts, T1078）

• シナリオ2: 支社ルーターのDNS改ざん → 内部管理面の可視性喪失とピボット

  • 入口: 弱い認証や既知バグの悪用（T1190）
  • 設定改ざん: ルーター内蔵DNSのフォワーダーを書き換え（LAN全体が影響）
  • 搾取: 管理者のブラウザ・RDPゲートウェイ・VPNポータルをAiTMで捕捉（T1557）
  • 影響: 拠点Active Directory/ファイルサーバーへの横移動、C2の隠蔽にプロキシ化（ATT&CK: Proxy, T1090）

• シナリオ3: 選別攻撃（ワイドスキャン→ハイバリュー抽出）

  • 入口: 大量のSOHO/旧式ルーターを機械的に探索・初期侵入（T1190）
  • 選別: DNSハイジャックで流入するトラフィックから価値の高いドメイン/アカウントを識別
  • 影響: 政府系・防衛関連・メディアなどの情報窃取と影響工作準備（情報オペの下地）

組織への影響としては、IDの信頼性低下（MFAバイパス含む）、ログ側の“観測ギャップ”（不審ドメインではなく“正規FQDN”へのアクセスに見える）、支社・在宅の無管理資産からの侵入が同時多発的に起き得る点が厄介です。可視化レイヤを“ネットワーク名解決の統制”まで広げる必要があります。

セキュリティ担当者のアクション

“いますぐ”できることと、“構造的に”変えることに分けて列挙します。優先度の高い順に並べています。

• 直ちに確認・封じ込め

  • すべての拠点・在宅向けルーターのDNS設定とDHCP Option 6を監査し、許可リゾルバ以外の指定を排除します。
  • ルーターのWAN側リモート管理（HTTP/HTTPS/Telnet/SSH/UPnP/NAT-PMP）を無効化し、必要な場合はVPN越しのみ許可します。
  • ルーターのファームウェアを最新化し、既知脆弱性の影響を受ける機種の交換計画を策定します。旧世代機種（サポート終了・更新不可）は“優先撤去”のタグ付けをします。
  • ネットワークでのDNS利用を制御します。クライアントからの53/tcp,udpは組織の承認リゾルバにのみ到達可能とし、DoH/DoTは企業配信のプロファイル（MDM/GPO/ブラウザポリシー）で固定します。
  • SIEM/NDRに「非承認DNS宛のクエリ発生」「端末が複数の外部DNSへ散る」「拠点ごとのDNS到達先変更」を検知するルールを追加します。

• 侵害が疑われる場合のインシデント対応

  • ルーターは“初期化+手動再設定（設定バックアップのリストアは避ける）”を基本とし、管理者パスワードを一意・長大に更新します。
  • 影響を受けた可能性のあるユーザーのパスワード変更、全セッショントークン/リフレッシュトークンの一括失効、登録MFAデバイスの再登録を行います。
  • ID基盤での危険サイン（Impossible Travel、異常なIP/ASNからのサインイン、短時間での多数アプリ同時認証など）を遡及調査します。

• 中長期の構造改革

  • ID保護の“標準”をFIDO2/WebAuthnに引き上げ、ユーザー/管理者の両方でパスキー運用を普及させます。セッション継承の抑止、短寿命アクセストークン、条件付きアクセスの地理/リスク評価を組み合わせます。
  • ルーター/SD-WANエッジを“資産として管理”します。棚卸し、所有者、サポート期限、更新ベースライン、コンフィグ監査（逸脱検知）をCMDBに統合します。
  • ブランチの名前解決アーキテクチャを再設計します。社内リゾルバ（DoT/DoH対応）でのDNSSEC検証、スプリットDNSの管理厳格化、外向きDNSをファイアウォールのアウトバウンド・ポリシーで強制します。
  • セキュリティ教育は“メールだけがフィッシングではない”点を明示します。ブラウザの証明書警告の無視を許容しない文化づくり、ブックマーク/ポータルからのアクセス徹底を促します。

• 検知アイデア（運用にのる粒度）

  • ネットワーク: NetFlow/PCAPで53/tcp,udpの宛先を集約し、許可リゾルバ以外をブロック・アラート。拠点単位で“前日比のDNS宛先変化”を日次で可視化します。
  • 端末/ブラウザ: 管理ブラウザのDoHエンドポイント固定、DoHバイパスの検知（エンタープライズポリシー逸脱）をMDMで監査します。
  • ID: “MFA成功直後に異常なアプリ許可/トークン発行が連続する”パターンを行動分析で警告します。

最後に、今回の注意喚起は“目新しいゼロデイ”の話ではありません。だからこそ、差が出るのは運用です。境界デバイスの地味な健全性管理、DNSという基盤の見える化、そしてIDの“最後の砦”の耐性強化。三位一体で臨むことで、APT28に限らず同型の作戦を鈍らせることができます。

参考情報:

• 英NCSC「APT28 exploit routers to enable DNS hijacking operations」https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations