SOHOルーターのDNSハイジャック攻撃をMicrosoftが警告

Introduction

Microsoft は、ロシアの軍事情報機関と関連付けられる脅威アクター Forest Blizzard が、脆弱な SOHO ルーターを侵害して DNS 設定を変更していた大規模なキャンペーンを公表しました。リモートワークおよびハイブリッドワークの従業員を抱える組織にとって、これは未管理の家庭用・小規模オフィス向けネットワーク機器が盲点となり、Microsoft 365 へのアクセスやその他の機密トラフィックを露出させる可能性があることを示す重要な警告です。

What’s new

Microsoft Threat Intelligence によると、このアクターは少なくとも 2025 年 8 月以来活動しており、侵害したエッジデバイスを利用して大規模な悪意ある DNS インフラを構築していました。

Key findings

• Forest Blizzard は、デバイスがアクター管理下の DNS リゾルバーを参照するようルーター設定を変更しました。
• Microsoft は、この悪意ある DNS インフラの影響を受けた 200 以上の組織と 5,000 台のコンシューマーデバイスを特定しました。
• このキャンペーンにより、標的ネットワーク全体で受動的な DNS 収集と偵察活動が可能になっていました。
• 一部のケースでは、このポジションを利用して Transport Layer Security (TLS) adversary-in-the-middle (AiTM) 攻撃を支援していました。
• Microsoft は、Outlook on the web ドメインに対する後続の標的化と、アフリカの政府サーバーに対する別個の AiTM 活動も確認しました。

Why this matters for IT administrators

最も重要なポイントは、ユーザーの上流ルーターが侵害されている場合、エンタープライズ向けのセキュリティ制御だけではトラフィックを完全には保護できないということです。家庭用または小規模オフィス向けルーターは DNS 参照を密かにリダイレクトできるため、攻撃者は要求されたドメインを可視化でき、特定のシナリオでは応答を偽装してトラフィックの傍受を試みる機会を得ます。

Microsoft 365 の顧客にとって、これはユーザーが未管理ネットワークから Outlook on the web やその他のクラウドサービスにアクセスする場合に特に重要です。Microsoft のサービス自体が侵害されていなくても、無効な TLS 証明書の警告をユーザーが無視したり、不審な DNS アクティビティが検知されなかったりすると、ユーザーは依然として危険にさらされる可能性があります。

Recommended actions

Microsoft は、直ちに実施すべきいくつかの緩和策を推奨しています。

• リモートユーザーの家庭用・小規模オフィス向けネットワーク機器に関連するリスクを見直す。
• 可能な場合は信頼できる DNS 名前解決を強制し、Windows エンドポイントでは Zero Trust DNS (ZTDNS) 制御を含める。
• Microsoft Defender for Endpoint で network protection と web protection を有効にする。
• 既知の悪意あるドメインをブロックし、監視と調査のために詳細な DNS ログを保持する。
• ルーターおよびエッジデバイスの構成、特に DNS と DHCP の設定を監査する。
• 脆弱な SOHO デバイスにパッチを適用し、安全に構成するか、サポート終了済みであれば交換する。
• TLS 証明書の警告を回避しないようユーザーを教育する。

Bottom line

このキャンペーンは、攻撃者が管理の甘いエッジデバイスを悪用して、より価値の高いエンタープライズ標的への可視性を獲得できることを示しています。セキュリティチームは脅威モデルを企業インフラの外側まで広げ、リモートアクセスや Microsoft 365 保護戦略の一部として、ホームオフィスのネットワーク機器も考慮する必要があります。