🔥 この記事の詳細
2026-06-13 更新
C
月内に

ロシアのAPT28(Fancy Bear)が、従来のVPSではなく、家庭用ルーターやSOHOデバイスを乗っ取って攻撃インフラを構築する手法に転換しています

事案🌐 英語ソース
📅 2026-06-13📰 freebuf
📌 一言でいうと
ロシアのAPT28(Fancy Bear)が、従来のVPSではなく、家庭用ルーターやSOHOデバイスを乗っ取って攻撃インフラを構築する手法に転換しています。具体的には、Ubiquiti、MikroTik、TP-Linkなどのルーターを悪用し、DNS設定の書き換えによる認証情報の窃取や、クラウドサービスを介したC2通信を行っています。また、AI駆動の情報窃取ツール「LameHug」などの短寿命なツールを導入し、検知回避を強化しています。
🔍該当判定
  • 社内で Ubiquiti EdgeRouter、MikroTik、TP-Link のいずれかのルーターを利用している
  • Microsoft 365 (旧 Office 365) や Microsoft Exchange を業務で利用している
  • 外交・法執行機関、またはIT保守・運用代行サービス(MSP)を提供している
  • ルーターのDNS設定を外部から変更できる状態で運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. 境界ルーターおよびSOHOデバイスのファームウェアを最新バージョンに更新する。2. ルーターの管理インターフェースへの外部アクセスを禁止し、強力なパスワードを設定する。3. DNS設定の予期せぬ変更がないか監視し、不審なトラフィックを検知する。4. 多要素認証 (MFA) を導入し、認証情報の窃取による被害を最小限に抑える。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】APT28によるSOHOルーター悪用キャンペーンへの対応について

お疲れさまです。APT28(Fancy Bear)による新たな攻撃インフラの運用に関する情報共有です。

■ 概要
APT28が家庭用・SOHOルーター(Ubiquiti, MikroTik, TP-Link等)を乗っ取り、プロキシやフィッシングサイトのホストとして利用する「FrostArmada」等の作戦を展開しています。DNS設定を書き換えてMicrosoft 365等の認証情報を窃取する手法が確認されています。

■ 影響範囲
- Ubiquiti EdgeRouter
- MikroTik ルーター
- TP-Link ルーター
- 上記デバイスを利用しているネットワーク環境

■ 対応手順
1. 境界デバイスおよび拠点ルーターのファームウェアを最新版にアップデートしてください。
2. ルーターの管理画面へのWAN側からのアクセスを遮断してください。
3. DNS設定が意図せず変更されていないか、定期的な監査を実施してください。
4. 認証情報の窃取対策として、全社的な多要素認証 (MFA) の強制適用を推奨します。

■ 参考情報
- Sekoia Labs Report / FBI Operation Dying Ember

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] APT28 Campaign Leveraging SOHO Routers

Dear IT/Security Team,

We are sharing intelligence regarding a shift in infrastructure tactics by APT28 (Fancy Bear).

■ Overview
APT28 is now utilizing a 'shadow network' of compromised SOHO routers (Ubiquiti, MikroTik, TP-Link) to act as C2 relays and phishing hosts. Through operations like 'FrostArmada', they rewrite DNS settings to intercept credentials and OAuth tokens for services such as Microsoft 365.

■ Affected Scope
- Ubiquiti EdgeRouter
- MikroTik Routers
- TP-Link Routers
- Any network environment utilizing these devices at the edge

■ Recommended Actions
1. Update all edge and SOHO router firmware to the latest available versions.
2. Disable remote management interfaces (WAN-side access) on all routers.
3. Audit DNS configurations for unauthorized changes.
4. Enforce Multi-Factor Authentication (MFA) across all corporate accounts to mitigate the impact of credential theft.

■ Reference
- Sekoia Labs Report / FBI Operation Dying Ember

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-13 のまとめ🔍 記事を検索