ロシアの国家支援型脅威アクター APT28(別名:Fancy Bear、Forest Blizzard)が展開していた大規模な認証情報窃取キャンペーン「FrostArmada」が、FBI・米司法省・ポーランド政府、そしてMicrosoftとLumenのBlack Lotus Labs(BLL)の連携によって制圧された。MikroTikやTP-LinkといったSOHOルーターを踏み台にDNS設定を書き換え、Microsoft 365のOAuthトークンを横取りするという手口は、「ネットワーク境界を信頼する」という従来型モデルの限界を改めて突きつけている。

FrostArmadaの攻撃メカニズム——シンプルかつ巧妙

攻撃の構造は以下の流れだ。

  • ルーターへの侵入: インターネットに直接露出しているMikroTik・TP-Link、Nethesis製ファイアウォール、旧型Fortinetモデルを標的に侵入
  • DNS設定の書き換え: 攻撃者が制御するVPS(仮想プライベートサーバー)をDNSリゾルバーとして設定
  • DHCPによる横展開: 書き換えられたDNS設定がDHCP経由でLAN内の全デバイスに自動配布
  • AitM(Adversary-in-the-Middle)攻撃: Microsoft 365など認証関連ドメインへのクエリを横取りし、攻撃者のプロキシに誘導
  • OAuthトークン収集: ユーザーが認証操作を行うと、有効なOAuthトークンごと攻撃者に渡る

被害者側に見える「サイン」は、TLS証明書の警告ダイアログだけ。「なんか出てきたけどOK押しておこう」の一瞬が致命傷になる構造だ。2025年12月のピーク時には120か国・18,000台のデバイスが感染し、政府機関・法執行機関・IT/ホスティングプロバイダーを中心に被害が拡大していた。

実務への影響——日本のエンジニア・IT管理者に告ぐ

まずSOHOルーターを棚卸しせよ

MikroTikとTP-Linkは日本のSOHO・中小企業・ラボ環境でも広く使われている。「使い続けているが設定を触ったことがない」という機器が一台でもあれば、今すぐ確認が必要だ。

  • 外部管理インターフェース(Winbox・HTTP・SSH)を閉じる: デフォルトで有効なケースが多い
  • DNSサーバー設定を確認: ISPまたは自社管理の正規リゾルバーを向いているか
  • ファームウェアを最新に: 多くのSOHO機器は自動更新が無効のまま放置されている

Microsoft 365環境の保護

  • 条件付きアクセスでデバイスコンプライアンスを必須化: 準拠していないデバイスからのアクセスをそもそもブロック
  • フィッシング耐性のある認証(FIDO2/パスキー)への移行を加速: MFAは最低ライン、その先へ
  • OAuthトークンのライフタイムを短縮: 長命なトークンはAitMの格好の標的になる
  • Microsoft Entra IDの継続的アクセス評価(CAE)を有効化: 異常なセッションをリアルタイムに無効化できる

TLS証明書警告は「エラー」ではなく「シグナル」だ

エンドユーザー教育として「証明書の警告が出たら絶対に進まない」を徹底することは、技術的対策と同等かそれ以上に重要だ。今回の攻撃はまさにその一瞬の油断を狙っている。

筆者の見解

APT28は今や誰もが名前を知るロシアの国家支援グループだが、今回の手口で特に注目すべきはその「ローテク性」にある。DNS設定を書き換えるだけ、DHCP配布に乗っかるだけ。最先端のマルウェアは一切使っていない。それでも18,000台を落とせた。

SOHOルーターが「ネットワークの入り口を守る機器」として認識されておらず、エンドポイント管理の圏外に置かれてきた現実を突いた攻撃だ。ゼロトラストの文脈では「ネットワーク内にいるから安全」という前提はとっくに崩れているのだが、ルーターそのものが信頼できない設定に書き換えられていたら、その先のすべての努力が砂上の楼閣になる。物理的な境界線を信じたくなる気持ちはわかるが、もうその時代ではない。

今回のFBIによる「裁判所命令に基づくリモートDNSリセット」という対処は興味深い。感染デバイスをリモートから修復するアプローチは、スケールする防衛手段として今後も使われるだろう。民間(Black Lotus Labs・Microsoft)と政府機関の連携が機能した事例として、この協調体制は正しい方向性だと思う。

Microsoft 365はこの種の攻撃の標的になり続ける。それだけ普及しており、アカウントの価値が高いからだ。だからこそ、Entraの認証機能を「設定しっぱなし」にせず、CAE・条件付きアクセス・FIDO2といった層を丁寧に積み上げることが求められる。道のど真ん中——Microsoftの推奨設定通りに、全部ちゃんとやる——が、今も最善の防衛策だ。

出典: この記事は Authorities disrupt router DNS hijacks used to steal Microsoft 365 logins の内容をもとに、筆者の見解を加えて独自に執筆したものです。