英国政府が公開した「ロシアにハッキングされたWi-Fiルータ」一覧

　米連邦捜査局（FBI）や米国家安全保障局（NSA）を含む世界各国の政府機関は4月7日、世界各地でロシアのハッカーがルーターの脆弱性を悪用しているとの合同発表を行った。標的となったのは主にSOHO（小規模オフィス）向けのルーターで、攻撃の実行主体はロシア軍参謀本部情報総局（GRU）配下の組織だという。

　各国の政府機関は、Wi-Fiルータの最新ファームウェアへの更新やログインパスワードの変更といった、基本的なセキュリティ対策をあらためて呼びかけている。英国の政府機関は（NCSC）は、攻撃の標的となったTP-Link製ルーターを23機種、機種名込みで具体的に挙げた。

　物々しいニュースに聞こえるが、今回侵害されたのは特に小規模オフィス向けルーターであり、家庭のWi-Fiルーターが危険にさらされている可能性は低い、という点は押さえておきたい。とはいえ、影響を受けたルーターの中には一般的な家庭用ルーターとして使えるものもあるため、自分の機種が今回の攻撃で悪用されたものに含まれていないか確認しておく価値はある。

　セキュリティ企業Forescoutで研究部門を率いるダニエル・ドス・サントス氏は米CNETに対し、「ルーターを狙う攻撃は近年、大きな流れになっている。家庭向けルーターだけでなく、企業向けルーターも標的になっている」と話している。

　NSAの発表によれば、この攻撃は幅広いルーターを無差別に標的にしたもので、狙いは「軍事、政府、重要インフラ」に関する情報収集にあったという。

　FBIによると、攻撃を仕掛けているのはロシアGRU傘下のハッカー集団で、「APT28」「Fancy Bear」「Forest Blizzard」などの名で知られている。攻撃は少なくとも2024年から続いているという。

　使われた手口は、いわゆるDNS（ドメインネームシステム）ハイジャッキングだ。SOHOルーターの設定を書き換え、ユーザーのDNSリクエストを攻撃者側に誘導することで、接続先などの情報や、暗号化されていない通信を把握できるようにする。

　マイクロソフトの脅威インテリジェンス部門は、Forest Blizzardのような国家支援型の攻撃者にとって、DNSハイジャッキングは「大規模かつ継続的に、目立たない形で偵察を行う手段になる」と指摘している。同社は今回のGRUによる攻撃で、200を超える組織と5000台以上の一般消費者向けデバイスが影響を受けたと特定した。

　FBIの発表で名指しされた機種のひとつが、TP-Linkの「TL-WR841N」だ。Wi-Fi 4対応モデルで、最初に発売されたのは2007年だ。また英NCSCは合計23機種を一覧化したうえで「これがすべてとは限らない」と注記している。対象として挙げられたのは以下の機種だ。