あなたのルーターがスパイの中継地点になっている
2026年4月7日、Lumen Technologies傘下のBlack Lotus Labsが、ロシア軍事情報局(GRU)に属するハッカー集団APT28(別名Forest Blizzard)による大規模サイバースパイ作戦『FrostArmada』を公表しました。FBIと米司法省がこの作戦の摘発に関与しています。
APT28は2025年5月以降、脆弱な家庭用・小規模オフィス用ルーター(MikroTik、TP-Link等)に侵入し、DNS設定を書き換えていました。DNSとは、ユーザーが入力するWebアドレス(例:bank.example.com)を実際のサーバーに変換する仕組みです。
攻撃者はDNSを書き換えることで、ユーザーが正しいURLを入力しても偽のサーバーに転送し、中間者攻撃(AitM)でログインIDとパスワードを盗んでいました。ユーザー側からは正規のサイトにアクセスしているように見えるため、異変に気づくことは極めて困難です。
正しいURLを入力しても偽サイトに飛ばされる。ブラウザの警告も出ない。ルーターのDNSが書き換えられていれば、あらゆる安全策が無意味になる。
PDFを開くだけで情報が盗まれる
同じ2026年4月9日、Adobe Readerのゼロデイ脆弱性が実際の攻撃で悪用されていることが確認されました。悪意あるPDFファイルを開くだけで、ユーザーの操作なしにデータが窃取されます。
PDFは見積書、請求書、契約書、履歴書として毎日やり取りされるファイル形式です。『添付ファイルは開かない』というルールは、取引先からの見積書PDFには適用しにくい。攻撃者はその心理を突いています。
なぜ『ルーター』と『PDF』が狙われるのか
ルーターとPDFには共通点があります。どちらも『インフラとして存在するが、セキュリティ意識が向かない』ものです。
- ルーター:設置したら触らない。ファームウェア更新をしたことがない人が大半
- PDF:日常的に受け取り開くファイル。『PDFが危険』という認識が薄い
- どちらも攻撃されても気づきにくい。ルーターのDNS変更はログすら残らない場合がある
- 国家レベルの攻撃者は、こうした『盲点』を組織的に狙う
Webサイト運営者にとってのリスク
DNS乗っ取りはサイト訪問者だけでなく、サイト運営者にも影響します。
- サイト運営者自身のルーターが乗っ取られれば、管理画面へのログイン情報が盗まれる
- HSTS(HTTP Strict Transport Security)が未設定なら、DNS乗っ取り後にHTTPへのダウングレードが可能
- セキュリティヘッダーのCSP(Content Security Policy)が未設定なら、偽サイトへのリダイレクトスクリプトが注入されるリスクがある
- サイトのDNSSEC(DNS Security Extensions)が未設定なら、DNS応答の改ざんを検知できない
- 古いSSL/TLS設定は中間者攻撃への耐性が低い
今すぐ確認すべきこと
- 自宅・オフィスのルーターのファームウェアが最新か確認する
- ルーターの管理画面のパスワードをデフォルトから変更する
- ルーターのDNS設定が意図した値(ISP推奨またはCloudflare 1.1.1.1等)になっているか確認する
- サイトにHSTSヘッダーが設定されているか確認する
- セキュリティヘッダー(CSP、X-Frame-Options等)が設定されているか確認する
- SSL/TLS設定が最新の推奨構成になっているか確認する
まず確認すべきこと
ルーターのDNSが書き換えられていれば、どんなに強いパスワードもMFAも無力です。サイト運営者としては、HSTS・CSP・SSL/TLSの設定が正しいかを外部視点で確認することが、DNS乗っ取り攻撃への最初の防衛ラインになります。
Web検診では、セキュリティヘッダー(HSTS含む)、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。
出典
The Hacker News(FrostArmada / APT28): https://thehackernews.com/
HackRead(Adobe Reader ゼロデイ / ルーターDNS攻撃): https://hackread.com/
Acronis MSP Cybersecurity News Digest: https://www.acronis.com/en/tru/posts/msp-cybersecurity-news-digest-april-7-2026/
Microsoft(Forest Blizzard DNS hijack): https://thehackernews.com/