APT28 フロストアルマダ攻撃キャンペーン

ロシアと関連があるとされる脅威グループAPT28（別名Forest Blizzard）による高度なサイバー諜報活動が、脆弱なネットワークインフラを悪用して大規模な監視活動を行っていた。少なくとも2025年5月から活動していたこの作戦は、コードネーム「FrostArmada」と呼ばれ、セキュリティ対策が不十分なMikroTikおよびTP-Linkルーターを侵害し、攻撃者の制御下にある悪意のある資産へと変えることに重点を置いていた。

この作戦は主に家庭用および小規模オフィス（SOHO）端末を標的とし、脆弱な設定を悪用してDNS設定を操作しました。これにより、攻撃者はネットワークトラフィックを傍受・リダイレクトし、受動的かつほとんど検知されないデータ収集を可能にしました。

DNSハイジャック：ルーターを静かな監視ツールに変える

この攻撃キャンペーンの中核を成すのはDNSハイジャックという手法であり、攻撃者はこの手法を用いて正規のトラフィックを悪意のあるインフラストラクチャ経由で迂回させることができた。ルーターが侵害されると、そのDNS設定は攻撃者が制御するサーバーを指すように変更された。この操作により、ユーザーの操作を一切必要とせずに機密データを傍受することが可能になった。

ユーザーが標的ドメインにアクセスしようとすると、リクエストは密かに中間者攻撃（AitM）ノードにリダイレクトされた。これらのノードは、ログイン認証情報を含む認証データを取得し、攻撃者に送信した。このプロセスは非常に巧妙に隠蔽されていたため、検出は極めて困難だった。

攻撃チェーンの内訳：脆弱性悪用から認証情報窃盗まで

攻撃のライフサイクルは、データ収集を最大化しつつ検出を最小限に抑えるように設計された構造化された手順に従った。

• SOHOルーターの初期侵害は、脆弱性または設定の不備によるものです。
• 不正な管理者アクセスおよびDNS設定の変更
• DNSクエリを悪意のある攻撃者が制御するリゾルバにリダイレクトする
• AitMインフラストラクチャを介したユーザー通信の傍受
• パスワードやOAuthトークンを含む認証情報の収集と流出

この手法により、攻撃者は電子メールプラットフォームやウェブサービスへのログイン試行を監視することが可能になり、これにはMicrosoft Outlook on the webやその他のMicrosoft以外のホストシステムへのログイン試行も含まれる。

グローバルな展開と戦略的なターゲティング

この攻撃キャンペーンは、時間の経過とともに大幅に拡大した。2025年5月に限定的な規模で始まったものの、8月初旬には広範囲にわたる攻撃活動が激化した。2025年12月のピーク時には、少なくとも120か国にわたる1万8000を超える固有IPアドレスが、攻撃者が制御するインフラと通信していることが確認された。

主な対象は以下のとおりです。

• 外務省や法執行機関などの政府機関
• サードパーティのメールおよびクラウドサービスプロバイダー
• 北アフリカ、中央アメリカ、東南アジア、ヨーロッパの組織

200以上の組織と約5,000台の消費者向けデバイスが影響を受け、この作戦の規模と影響範囲の大きさが明らかになった。

悪用された脆弱性とインフラストラクチャ戦術

攻撃者は既知の脆弱性を悪用してネットワーク機器へのアクセス権を取得しました。特に、TP-Link WR841Nルーターは、CVE-2023-50224という認証バイパスの脆弱性を悪用され、特別に細工されたHTTP GETリクエストを介して認証情報が抽出されました。

さらに、侵害されたルーターから攻撃者が制御するリモートサーバーへDNSトラフィックを中継する役割を担う、二次的なインフラストラクチャクラスターが特定された。このクラスターは、特にウクライナにおいて、特定のMikroTikルーターに対して標的を絞ったインタラクティブな攻撃も実行していた。

エッジデバイス侵害による高度なスパイ活動

今回の攻撃は、APT28の作戦戦術における重要な進化を示すものです。同グループは今回初めて、大規模なDNSハイジャックを実行し、トランスポート層セキュリティ（TLS）接続に対するAitM攻撃を容易にする能力を実証しました。

エンタープライズシステムよりも監視が手薄なことが多いエッジデバイスを侵害することで、攻撃者はネットワークトラフィックの上流領域を可視化することができた。この戦略的な位置づけにより、攻撃者は価値の高い標的を特定し、諜報活動上重要な個人や組織に選択的に攻撃を集中させることが可能になった。

この作戦は、当初は広範囲に網を張り、傍受したデータの価値に基づいて徐々に標的を絞り込んでいく、機会主義的な性質のものと評価されている。

業務の中断と継続的なリスク

FrostArmadaを支えていた悪意のあるインフラは、米国司法省、連邦捜査局、および国際的なパートナー機関による連携した取り組みによって解体されました。この解体にもかかわらず、使用された手法は、セキュリティ対策が不十分なネットワーク機器に関連する根強いリスクを浮き彫りにしています。

このキャンペーンは主に情報収集に焦点を当ててきたが、AitM（Advanced Intermediate Management）ポジショニングの利用は、より広範な脅威をもたらす。このようなアクセスによって、マルウェアの展開やサービス拒否攻撃など、さらなる悪意のある活動が可能になり、標的組織への潜在的な影響が大幅に増大する可能性がある。

結論：ネットワークセキュリティへの警鐘

FrostArmadaキャンペーンは、ネットワーク環境におけるエッジデバイスのセキュリティ確保が極めて重要であることを改めて浮き彫りにしました。ルーターやDNSインフラストラクチャの悪用は、攻撃者に強力かつ巧妙な監視手段を提供し、多くの場合、従来のセキュリティ対策を回避します。

組織も個人も、高度な脅威アクターによるリスクを軽減するために、ネットワーク機器の適切な設定、タイムリーなパッチ適用、継続的な監視を優先的に行う必要がある。