2026年4月7日、FBI・英国NCSC・Microsoftなど19か国の機関が共同で「Operation Masquerade」の実施を公表した。ロシア軍参謀本部情報総局(GRU)の部隊「APT28」が、TP-LinkやMikroTik製の家庭用ルーターを世界中で乗っ取り、Microsoft 365のパスワードやセッショントークンを盗み出していたーー約2年間にわたるスパイ作戦の全容が明らかになった。
TP-Linkルーターを使っている人が真っ先に確認すべきことは1つ。ルーター管理画面のDHCP設定で、DNSサーバーのIPアドレスが見覚えのない値に変わっていないかを確認することです。もし変わっていたら、そのルーターはすでに侵害されている可能性があります。
FrostArmadaキャンペーンの概要
「FrostArmada」は、米Lumen Technologies傘下のBlack Lotus Labsが命名した攻撃キャンペーンの名称です。英国NCSCは帰属確信度を「ほぼ確実(Almost Certain)」としており、実行部隊はGRU第85主要特殊サービスセンター軍事ユニット26165、通称APT28に帰属するとしています。Microsoftはこのサブグループを「Storm-2754」として追跡しています。
標的は、各国の外務省・法執行機関・軍事関連組織が使うMicrosoft 365アカウントの認証情報です。マルウェアは使われていません。攻撃者がやったのは、ルーターのDNS設定を1項目書き換えただけ。たったそれだけで、120か国以上・18,000台以上のルーター配下にあるネットワーク全体の通信を傍受可能な状態にしていました。
攻撃のタイムライン
| 2024年 | TP-Linkルーターの無差別スキャン・初期侵害を開始 |
| 2025年5月 | 最初のAitMノードが稼働。アフガニスタン政府機関を対象に限定運用 |
| 2025年8月5日 | 英NCSCが関連マルウェア「Authentic Antics」のレポートを公開 |
| 2025年8月6日 | レポート公開の翌日、APT28はDNSハイジャック手法に大規模転換。世界規模で本格化 |
| 2025年9月 | CISAがCVE-2023-50224とCVE-2025-9377をKEV(既知の悪用脆弱性)カタログに追加 |
| 2025年12月 | ピーク到達。120か国以上の290,000超IPがGRU管理DNSサーバーと通信 |
| 2026年3月 | FBI・Lumen・Microsoftの協調作戦でGRUインフラを無力化 |
| 2026年3月23日 | FCCが外国製ルーターの新規輸入禁止を決定 |
| 2026年4月7日 | 「Operation Masquerade」として無力化作戦を公表 |
注目すべきは、2025年8月5日から6日にかけての動きです。NCSCがAPT28の従来の認証情報窃取ツールを暴露したその翌日に、APT28はまったく別の手法(DNSハイジャック)へ即座に切り替え、大規模展開を開始しています。手口が公開されてから次の手法に移行するまでわずか1日。バックアップの攻撃手段を事前に準備していたことを示しており、この組織の運用能力の高さを示しています。
APT28とは何者か
APT28の正体は、ロシア連邦軍参謀本部情報総局(GRU)に直属するサイバー攻撃部隊です。少なくとも2004年から20年以上活動しており、金銭目的のサイバー犯罪グループとは根本的に性質が異なります。任務はロシアの国家戦略に直結しており、これまでに複数のメンバーが米司法省によって起訴されています。
セキュリティベンダーごとに追跡名が異なるため混乱しやすいですが、以下は全て同じ組織を指しています。
| 帰属元 | 追跡名 |
|---|---|
| 米国政府(一般) | APT28 |
| Microsoft | Forest Blizzard(旧称 STRONTIUM) |
| CrowdStrike | Fancy Bear |
| ESET | Sednit |
| Secureworks | Iron Twilight |
| Trend Micro | Pawn Storm |
APT28の過去の主要な攻撃実績には、2016年の米大統領選への介入(DNC・クリントン陣営へのスピアフィッシング)、2015年のドイツ連邦議会へのサイバー攻撃(議員メールアカウントの侵害)、2018年のOPCW(化学兵器禁止機関)本部への物理接近作戦(Wi-Fi傍受機器を持ち込んでオランダ当局に逮捕)などがあります。なお、同じGRU傘下でもNotPetya(2017年、被害総額100億ドル超)を実行したのはUnit 74455(Sandworm)であり、APT28(Unit 26165)とは別の部隊です。ただしGRU内部では両部隊が協力して作戦を遂行した事例も確認されており、組織としての破壊能力は極めて高いと評価されています。今回の家庭用ルーター乗っ取りも、GRUのサイバー作戦の一環として位置づけられます。
攻撃の仕組み:DNS設定1行の書き換えで全通信を傍受
FrostArmadaの技術的な特徴は、マルウェアを一切使わずにスパイ活動を成立させている点にあります。
ステップ1:ルーターへの侵入
APT28はShodanやCensysなどの検索エンジンを使い、インターネットに管理画面が公開されているTP-Linkルーターを大規模にスキャンしています。
侵入には2つの脆弱性が連鎖的に使われています。
| CVE番号 | 深刻度 | 内容 |
|---|---|---|
| CVE-2023-50224 | 6.5(Medium) | TL-WR841NのHTTPデーモンにある認証バイパス。認証なしで管理者パスワードを平文で取得可能 |
| CVE-2025-9377 | 8.6(High) | Parental Control(保護者制限)ページのOSコマンドインジェクション。リモートコード実行が可能 |
攻撃の流れはこうです。まずCVE-2023-50224を使って、認証なしのHTTP GETリクエストだけでルーターの管理者パスワードを取得します。パスワードは/tmp/dropbear/dropbearpwdにハッシュ化されずに保存されているため、そのまま読み取れます。次に取得したパスワードで管理画面にログインし、CVE-2025-9377を使ってOSコマンドを注入、リモートコード実行を確立します。
ここで重要なのは、CVE-2023-50224は認証不要であることです。WAN側から管理画面にアクセスできる設定になっていれば、インターネット越しに誰でもルーターのパスワードを抜き取れます。
ステップ2:DNS設定の改ざん
リモートコード実行を確立したAPT28は、ルーターのDHCPサーバー設定を書き換えます。具体的には、プライマリDNSサーバーをGRU管理のVPS(悪意あるDNSサーバー)のIPアドレスに変更し、セカンダリDNSは元のまま残します。
セカンダリを正規のまま残す理由は巧妙です。通常のウェブブラウジングやメールは正常に動作し続けるため、ユーザーは「インターネットがおかしい」と感じにくい。これにより発見が大幅に遅延します。
DHCPで配布されたDNS設定は、ルーター配下のPC・スマートフォン・タブレットすべてに自動的に反映されます。個々の端末を操作する必要はなく、ルーター1台を乗っ取るだけでネットワーク全体の通信を制御できます。
ステップ3:選択的なDNSリダイレクト
GRU管理のDNSサーバーは、全てのドメインの通信を横取りするわけではありません。Google、Amazonなど大半のドメインに対しては正規のIPアドレスを返し、Microsoftの認証関連ドメインに限ってGRU管理のAitM(中間者)ノードのIPアドレスを返します。
標的として確認されたドメインは以下の5つです。
| 標的ドメイン | 用途 |
|---|---|
| autodiscover-s.outlook.com | Outlook自動構成 |
| imap-mail.outlook.com | OutlookのIMAP接続 |
| outlook.live.com | Outlook Web版 |
| outlook.office.com | Office 365 Outlook |
| outlook.office365.com | Office 365ポータル |
NCSCは「上記以外の関連ドメインも標的に含まれていた可能性がある」と付記しています。
ステップ4:中間者攻撃(AitM)で認証情報を横取り
被害者がOutlookにアクセスすると、DNSの回答がGRU管理のAitMノードに書き換えられているため、通信はまずAitMノードに向かいます。AitMノードは正規のMicrosoftサーバーとの間でリクエストを中継しながら、通信の中身をすべて傍受します。窃取される情報は、Microsoft 365のメールアドレス、パスワード、そしてMFA(多要素認証)を通過した後に発行されるOAuthセッショントークンです。
ここで「MFAを設定しているから大丈夫」とは言えません。TOTPベース(Google AuthenticatorやMicrosoft Authenticatorなど)のMFAは、AitM攻撃に対して無力です。ユーザーがワンタイムパスワードを入力すると、AitMノードがそのまま正規サーバーに中継し、発行されたOAuthトークンをコピーします。ユーザーは「正常にログインできた」と認識する一方で、GRUは有効なセッショントークンを手に入れています。
この攻撃を防げるのはFIDO2ハードウェアキー(YubiKeyなど)またはパスキーのみ。FIDO2はチャネルバインディングにより、クライアントとサーバーが直接暗号的に認証するため、中間者がトークンを横取りできない設計になっています。
なお、AitMノードは正規のMicrosoft TLS証明書を持っていないため、ブラウザには必ず証明書警告が表示されます。「この接続は安全ではありません」という警告を無視してクリックスルーしたユーザーだけが被害を受けます。証明書警告は、この攻撃に対する最後の防衛線として機能しています。
被害規模
2025年12月のピーク時、120か国以上から290,000を超えるIPアドレスがGRU管理のDNSサーバーと通信していました。ただしこの数字は「侵害されたルーター配下のすべてのデバイスのIP」を含むため、侵害されたルーターの台数そのものではありません。
| 指標 | 数値 | 信頼度 |
|---|---|---|
| GRU管理DNSと通信したIP(月次ピーク) | 290,000超 | 低(配下デバイス含む) |
| 同・5回以上通信 | 約40,000 | 低〜中 |
| 同・10回以上通信(中程度信頼度の被害者) | 約18,000 | 中 |
| 影響を受けた国数 | 120か国以上 | 高 |
| 侵害が確認された組織数(Microsoft集計) | 200以上 | 高 |
Lumenは10回以上通信した約18,000 IPを「中程度信頼度の実被害者」と定義しています。Microsoftの独自集計では、200以上の組織と5,000台以上の消費者向けデバイスに影響があったとされています。
被害を受けた組織の種別は、北アフリカ・中央アメリカ・東南アジア各国の外務省、国家法執行機関、欧州の国民ID基盤、中小クラウドサービス事業者などです。個人のメールアカウントも米国・欧州を中心に被害が報告されています。
標的になったルーターのモデル一覧
NCSCのアドバイザリに記載されたTP-Link対象モデルは以下の23機種です。NCSCは「このリストは完全ではない可能性がある」と明記しています。
| カテゴリ | 対象モデル |
|---|---|
| WR840/841/842/845系 | TL-WR840N、TL-WR841N、TL-WR841N/WR841ND、TL-WR841HP、TL-WR842N、TL-WR842ND、TL-WR845N |
| WR940/945系 | TL-WR941ND、TL-WR945N |
| WR740/749系 | TL-WR740N、TL-WR740N/WR741ND、TL-WR749N |
| WR1043/1045系 | TL-WR1043ND、TL-WR1045ND |
| WDR系(デュアルバンド) | TL-WDR3500、TL-WDR3600、TL-WDR4300 |
| Archer系 | Archer C5、Archer C7(EU版 V2) |
| MR系(4G/LTE) | TL-MR3420、TL-MR6400 |
| AP(アクセスポイント) | TL-WA801ND、TL-WA901ND |
リストを見ればわかるとおり、対象は大半がWi-Fi 4世代(IEEE 802.11n)の旧モデルです。TL-WR841Nは世界で最も売れたルーターの1つですが、すでにサポート終了(EoL)品であり、セキュリティパッチが提供される保証がない製品です。Archer C7のEU版V2も同様に古い世代です。
TP-Link以外にも、MikroTik製ルーター(既知CVEとデフォルトパスワードの悪用)、Fortinet製ファイアウォール(旧型モデル)、Nethesis製ファイアウォールが標的として確認されています。特にウクライナのMikroTikルーターはAPT28の「クラスタ2」チームが手動で侵入作業を行っており、より高度なアクセスを確立していたとされています。
最新のTP-Linkルーターは対象外か
Archer AX系やDeco系など、現行世代のWi-Fi 6/6E/7対応モデルは今回のNCSCリストには含まれていません。ただし、NCSCが「リストは完全ではない可能性がある」と述べている以上、今回のリストに載っていないモデルが今後追加される可能性は否定できません。
また今回の攻撃手法はTP-Link固有の脆弱性を突いたものではあるものの、APT28は対象を拡大する際に別のメーカーの脆弱性も利用しています。ルーターのセキュリティは特定メーカーの問題ではなく、「EoL機器の長期使用」と「管理画面のインターネット公開」という構造的な問題です。
なぜTP-Linkが狙われたのか
「TP-Linkに中国政府のバックドアが仕込まれているから狙われた」と短絡的に考えるのは正確ではありません。今回の攻撃はロシアのAPT28によるもので、中国政府とは無関係です。APT28がTP-Linkを選んだ理由は、もっとシンプルな構造的要因にあります。
第一に、圧倒的な市場シェアです。TP-Linkは米国家庭用ルーター市場の約65%を占めており、Amazon.comのルーター部門でベストセラー首位を継続保持しています。攻撃者にとって、1つの脆弱性で最大数のターゲットにリーチできるメーカーです。
第二に、廉価モデルの長期残存です。TL-WR841Nのような数千円のルーターは「壊れるまで使う」傾向が極めて強い。ファームウェア更新を行うユーザーはごく少数であり、EoL後も長期間インターネットに接続されたまま放置されます。
第三に、管理画面の公開設定です。WAN側からのリモート管理を有効にしている(またはデフォルトで有効になっている)機器は、インターネット越しに直接攻撃できます。
米政府の調査でも、TP-Link製品固有の脆弱性が他メーカーより多いことを示す連邦データは存在しないとされています。問題の本質は「安価で市場シェアが大きく、長期放置されやすい」という組み合わせにあります。これはTP-Linkに限らず、どのメーカーの廉価モデルでも起こりうる問題です。
Operation Masquerade:19か国による無力化作戦
2026年3月、FBI・Lumen Technologies・Microsoftの協調作戦によりGRUのインフラが無力化されました。4月7日に「Operation Masquerade」として公表されたこの作戦には、NSA、英国NCSC、ドイツ(BfV/BND)、イタリア(AISE/AISI)、カナダ、チェコ、デンマーク、エストニア、フィンランド、ラトビア、リトアニア、ノルウェー、ポーランド、ポルトガル、ルーマニア、スロバキア、ウクライナの19か国の機関が参加しています。
作戦の内容は以下のとおりです。
LumenがGRU管理VPS上のDNSインフラをシンクホール化(無害なサーバーに置き換え)し、侵害ルーターからフォレンジックデータを収集。FBIが裁判所の認可を得て米国内の侵害ルーターにリモートコマンドを送信し、GRUによって改ざんされたDNS設定を削除して正規のISP提供DNSに復元しました。ユーザーの通常利用には影響がなく、ハードウェアリセットで元の状態に戻すことも可能です。
ただし、インフラが無力化されたことと、脆弱なルーターが安全になったことはまったく別の問題です。パッチ適用や機器交換が行われなければ、脆弱なルーターはそのままインターネットに接続されたままであり、同様の攻撃が再開される攻撃面は存在し続けます。Lumenは「Forest Blizzardは過去にも手法が公開された直後に次の手法に切り替えており、活動を継続すると確実に予測される」と評価しています。
FCC輸入禁止令との関係
2026年3月23日、FCCは外国製ルーターの新規輸入・販売を禁止する決定を下しました。Covered Listに追加されたことで、今後新たな外国製ルーターモデルがFCCの認可を受けることはできなくなります。
ここで混同してはならない論点が2つあります。1つは「中国製ルーターに中国政府のバックドアが仕込まれているリスク」(サプライチェーンリスク)、もう1つは「APT28が既存の脆弱性を悪用してルーターを踏み台にするリスク」(FrostArmada)。技術的にはまったく別の問題ですが、FCCはこれらを複合的な国家安全保障リスクとして一括で規制根拠にしています。
FCCの決定について重要な点を整理すると、既存のルーターは引き続き使用可能であること、ソフトウェアアップデートは2027年3月1日まで受信許可されていること、販売済みの在庫は継続販売が可能であること、そして新規モデルのみが対象であることです。
なお、この規制はTP-Link以外にも影響します。Netgear、ASUS、Google Nest、Amazon eeroなど、海外で製造されている全メーカーのルーターが対象になりうる規制であり、例外認可のプロセスが存在しています。
今すぐやるべき対策
全ユーザー共通:最優先で確認すべき3つ
1. ルーターのDHCP DNS設定を確認する。ルーターの管理画面(通常 192.168.1.1 または 192.168.0.1)にアクセスし、DHCP設定のプライマリ・セカンダリDNSサーバーのIPアドレスを確認してください。ISPから指定されたアドレス、またはCloudflare(1.1.1.1)、Google(8.8.8.8)、Quad9(9.9.9.9)以外の見覚えのないIPが設定されていた場合、侵害されている可能性があります。
2. WAN側リモート管理を無効化する。ルーター管理画面の「リモート管理」または「WAN側からのアクセス」を無効にしてください。これにより、CVE-2023-50224の主要な攻撃経路を閉じることができます。
3. ファームウェアを最新版に更新する。上記のNCSCリストに含まれる23モデルについては、EoL(サポート終了)製品のためパッチ提供の保証がありません。該当する場合は機器の交換を検討してください。
端末側でできる防御策
TLS証明書の警告は絶対に無視しないでください。今回のAitM攻撃では、AitMノードが正規のMicrosoft証明書を持たないため、必ず証明書警告が表示されます。「この接続は安全ではありません」が表示された場合は接続を中断してください。これが最後の防衛線です。
端末レベルでDNS over HTTPS(DoH)またはDNS over TLS(DoT)を設定することも有効です。Windows 11なら「ネットワーク設定 → DNS暗号化」でCloudflareやGoogleのDoHサーバーを設定できます。ルーターのDNSが改ざんされていても、端末側で暗号化DNSを使っていれば影響を回避できます。ただし、AitMノードの一部はDoTにも対応していたことが確認されているため、DoHとDNSSECの組み合わせが推奨されています。
企業・組織向け:根本対策
最も重要な対策は、フィッシング耐性MFAへの移行です。TOTPアプリ(Google Authenticator、Microsoft Authenticator等)はAitM攻撃でバイパスされます。FIDO2ハードウェアキー(YubiKey、Google Titanキー)またはパスキーへの移行が必須です。Microsoft 365の「認証強度ポリシー」でフィッシング耐性MFAを必須化できます。
条件付きアクセスポリシーの強化も有効です。通常と異なる地理的ロケーションやVPSプロバイダー(Vultr、DigitalOcean、Linode等)のIPレンジからの認証をブロックまたは追加確認の対象にすることで、窃取済みOAuthトークンが使われた際の検知精度が上がります。
テレワーク端末にMDM経由で証明書ピンニングを適用する対策もLumen公式が推奨しています。AitMによる「break and inspect」時にエラーを強制発生させ、接続をブロックできます。
そしてEoLネットワーク機器の即時退役。Lumenおよび全参加機関が共通して推奨する最重要対策のひとつです。
よくある質問
日本国内でも被害は出ているの?
今回の公式発表では、アジアでの被害は東南アジアが中心とされており、日本国内の侵害状況についての具体的な公式発表はありません。ただし、日本国内でもTL-WR841NやArcher C7は広く販売されていた実績があり、WAN側リモート管理を有効にしたまま使用しているケースがあれば標的に含まれている可能性は否定できません。
Archer AX73やDeco X50など現行モデルは安全?
NCSCが公開した対象リストには含まれていません。ただし「リストは完全ではない可能性がある」とNCSCが明記しているため、絶対に安全と断言はできません。機種に関わらず、WAN側リモート管理の無効化とファームウェア更新は必ず実施してください。
ルーターを買い換えるなら何がいい?
LIBNTのWi-Fiルーター記事で詳しく解説しています。セキュリティの観点からは、自動ファームウェア更新に対応していること、EoL後のサポート方針が明確なメーカーであること、WAN側管理インターフェースがデフォルトで無効であることを基準にするのが妥当です。
TP-Linkが「中国企業だから」狙われたの?
違います。今回の攻撃はロシアのAPT28によるもので、中国政府のバックドアとは無関係です。APT28は同時にMikroTik(ラトビア)やFortinet(米国)の機器も標的にしています。狙われた理由は、世界最大の市場シェアと脆弱な廉価モデルの長期残存という構造的な要因です。TP-Linkの中国法人との関係やFCCの輸入禁止令は別の文脈で議論されるべき問題であり、この2つを混同すると正確な判断ができなくなります。
まとめ
FrostArmadaは、ルーターのDNS設定を1行書き換えるだけで、マルウェアなしにMicrosoft 365の認証情報を窃取するという極めて効率的なスパイ作戦でした。Operation Masqueradeによってインフラは無力化されましたが、脆弱なルーターがインターネット上に残っている限り、同様の攻撃面は消えません。APT28は過去に手法が暴露された翌日に次の手法に切り替えた実績があり、FrostArmadaの次のキャンペーンがすでに準備されている可能性は十分にあります。
やるべきことは明確です。ルーターのDNS設定の確認、WAN側管理の無効化、EoL機器の交換、そして企業であればFIDO2への移行。特にTL-WR841NをはじめとするEoLモデルを使い続けている場合は、今すぐ買い換えを検討してください。
参考資料
英国NCS – APT28がルーターの脆弱性を悪用し、DNSハイジャック攻撃を実行 (2026年4月7日)
US DOJ – Operation Masquerade 発表 (2026年4月7日)
FBI/IC3 – ロシア軍参謀本部情報総局(GRU)が脆弱なルーターを悪用 (2026年4月7日)
Lumen Black Lotus Labs – FrostArmada: All thriller, no (malware) filler(2026年4月6日)
FCC – FCCが対象リストを更新 (2026年3月23日)
