ロシア政府の支援を受けたハッカーが設定不備のあるルーターを狙っていると13カ国19機関が警告

ロシア連邦保安庁(FSB)第16センターに関連する攻撃者が、世界各地でルーターに不正アクセスして通信やエネルギーなどの重要インフラを狙い続けているとして、アメリカ国家安全保障局(NSA)、サイバーセキュリティ・社会基盤安全保障庁(CISA)、連邦捜査局(FBI)など13カ国の19機関が共同勧告を発表しました。
Improve Router Hygiene to Protect Against Russian State-Sponsored Targeting | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-194a
NSA and Partners Release Guidance on Improving Router Hygiene to Protect Against Russian State-Sponsored Targeting > National Security Agency/Central Security Service > Press Release View
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4541059/nsa-and-partners-release-guidance-on-improving-router-hygiene-to-protect-agains/

The US government warns that Russia state hackers are coming after your router | Ars Technica
https://arstechnica.com/security/2026/07/the-us-government-warns-that-russia-state-hackers-are-coming-after-your-router/
共同勧告は2026年7月13日に公開され、アメリカ・オーストラリア・カナダ・ニュージーランド・イギリス・チェコ・デンマーク・エストニア・フィンランド・フランス・イタリア・ポーランド・スウェーデンの各機関が参加しました。参加機関はルーターの所有者とネットワーク管理者に対し、ロシア政府の支援を受けた攻撃への対策を強く求めています。
勧告によるとFSB第16センターの攻撃者は、設定に不備があるネットワーク機器や既知の脆弱性が残った機器への不正アクセスを、10年以上にわたって続けてきました。特に危険にさらされているのは通信・防衛産業基盤・エネルギー・金融サービス・政府サービス・政府施設・医療・公衆衛生の各分野で、政府分野では州や地方自治体が重点的に狙われているとのこと。
セキュリティ企業はこの活動を「Berserk Bear」「Energetic Bear」「Crouching Yeti」「Dragonfly」「Ghost Blizzard」「Static Tundra」などの名称で追跡しています。
攻撃者の手口は以下の通り。まず、攻撃者はプロキシを経由して送信元IPアドレスを偽装し、ネットワーク機器の状態確認や設定変更に使われるプロトコル「SNMP」のリクエストをインターネット上のIPアドレスへ送ります。これによりSNMPv1やSNMPv2で応答する機器を探します。
次に、SNMPv1とSNMPv2で認証に使われる共有文字列「community string」にデフォルトの文字列やよく使われる文字列を指定し、見つけたルーターへのアクセスを試みます。アクセスに成功すると、機器上の情報や操作を番号で指定する「OID」を使い、ルーターの設定を「config.bkp」や「output.txt」というファイルに複製してTFTPで送信するよう指示します。
最後に攻撃者は送信されたファイルを、自ら借りたVPSまたはすでに乗っ取られたFTPサーバーで受け取ります。

SNMPを使った走査が主な攻撃の手口ですが、攻撃者はCisco製品の既知の脆弱(ぜいじゃく)性や、Cisco製品の管理機能である「Cisco Smart Install」、ネットワーク機器を管理するウェブポータルを悪用することもあるとのこと。こうした手口の多くは「ソルトタイフーン」など他の攻撃者の活動とも重なっているそうです。
乗っ取られたルーターは別の攻撃を隠す中継地点にもなります。テクノロジー系メディアのArs Technicaによると、攻撃者はルーターを通信の出口となる「出口ノード」に使い、不正な通信をそのルーターのIPアドレスから発信されたように見せかけるとのこと。これは、信頼できるIPアドレスを持つ正常な機器を経由することでファイアウォールなどに遮断される可能性を下げられるためです。「近年、中国政府の支援を受けた攻撃者も、乗っ取ったネットワーク機器を中継地点にする同様の活動を行っている」とArs Technicaは指摘しています。
共同勧告では、ネットワーク管理者に以下の対応が推奨されています。
・すべての機器でCisco Smart Installを無効にする。
・SNMPv1とSNMPv2の代わりにSNMPv3を使用する。認証と暗号化を行う「authPriv」を有効にし、機器が対応する最も新しい暗号化方式を設定する。SNMPv1やSNMPv2が必要な場合は、community stringを初期設定から変更して読み取り専用にする。
・ネットワーク機器のローカルアカウントには、使い回しではない強固なパスワードを設定し、認証情報を安全に保存する。
・SNMPで管理する情報をまとめたMIBの許可リストを使い、OIDへのアクセスを監視・制限する。機器の設定変更を指示するSNMP Set-Requestのうち、機密性の高い機器情報を狙うものを検出できるよう、侵入検知システム(IDS)のルールを設定する。
・アクセス制御リスト(ACL)を使い、SNMPなどの管理プロトコルへのアクセスを管理用機器からのみに制限する。可能であれば、通常の業務通信から分離した帯域外ネットワークを使う。
・業務に不可欠な場合を除き、ネットワーク境界のファイアウォールや機器で、UDPポート「69」(TFTP)、TCPポート「4786」(SMI)、UDPポート「161」「162」(SNMP)、TCP・UDPポート「10161」「10162」(SNMPv3)を使う外部通信を遮断する。
・ネットワーク機器のソフトウエアとファームウエアのイメージを更新し、既知の脆弱性を修正する。サポートが終了した機器はサポート中の製品に置き換える。
共同勧告ではFSB第16センターの活動に焦点が当てられていますが、こうした対策は他の攻撃者が使う同様の手口を検知して対抗する上でも有効とのことです。
・関連記事
ロシア政府支援ハッカーが複数の家庭用ルーターに侵入しパスワードを盗み出す - GIGAZINE
日本とアメリカの当局が「中国政府のハッカーによってCisco製ルーターなどのネットワークにバックドアが仕掛けられている」と警告 - GIGAZINE
FBIとGoogleがスマートテレビなど200万台超を乗っ取ったボットネット「NetNut」を摘発 - GIGAZINE
FBIが世界中のネットワーク機器にリモートアクセスしてロシア製マルウェアを削除したことを発表 - GIGAZINE
EUとイギリスがロシアの政府系ハッカーらを制裁対象に追加、「ウクライナへの支援は揺るがない」とイギリス外相が明言 - GIGAZINE
・関連コンテンツ
in ハードウェア, セキュリティ, Posted by log1b_ok
You can read the machine translated English article 19 organizations in 13 countries warn th….







