米政府、ロシア国家ハッカーによるルーター攻撃を警告
原題: The US government warns that Russia state hackers are coming after your router
なぜ重要か
国家支援型ハッカーによるインフラ攻撃が家庭用機器へ拡大しており、ルーターセキュリティ製品やゼロトラスト関連サービスの重要性が一層高まっている。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月13日、ロシア連邦保安庁(FSB)第16センターのハッカー集団が世界中の家庭用・中小企業向けルーターを悪用し、通信・防衛・エネルギー・金融・政府機関への攻撃を隠蔽していると警告した。オーストラリア、デンマーク、ニュージーランド、英国の各政府も勧告を共同発表した。
CISAは2026年7月13日付の勧告で、ロシアFSB第16センターに紐づくハッカー集団が、設定の甘いルーターや脆弱なネットワーク機器を世界規模で侵害し続けていると発表した。この集団はBerserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard、Static Tundraなど複数の名称で追跡されている。
攻撃の主な手口は、Simple Network Management Protocol(SNMP)エージェントがデフォルト認証情報または一般的な認証情報を受け入れるIPアドレス帯域を、既存のルーターボットネットを使ってスキャンするものだ。攻撃者はスプーフィングしたアドレスから悪意あるトラフィックを送り込み、設定不備のルーター上でSNMPエージェントを悪用してマルウェアを実行する。
侵害したルーターは「出口ノード」として使用され、通信・防衛・エネルギー・金融サービス・政府セクターを標的にした偵察や攻撃のトラフィックを中継する。一般家庭のIPアドレスを経由することでファイアウォールなどの防御機構をすり抜けやすくなる、いわゆる「レジデンシャルプロキシ」として機能させる狙いがある。
ロシアや中国による同種の攻撃は以前から継続しており、米政府は過去にルーターへの遠隔コマンド送信によるボットネット無効化を試みてきた。GoogleなどIT企業も大規模ボットネットの解体に取り組んでいるが、攻撃者は新たなボットネットで即座に再構築するため、根本的な解決には至っていない。
CISAはルーターユーザーに対し、SNMPバージョン1および2を無効化すること(パスワードが暗号化されず安全でないため)、デフォルト認証情報を変更すること、ファームウェアを最新に保つことなどを勧告している。今回の勧告は中国による類似活動には言及していない。