Trend Microは2026年3月26日、ロシア軍事情報機関(GRU)配下のAPT28(別名:Fancy Bear、Forest Blizzard、Pawn Storm)が「Prismex」マルウェアを使用し、ウクライナおよびチェコ、ポーランド、ルーマニア、スロバキア、スロベニア、トルコの防衛サプライチェーンを標的にしていると発表した。このキャンペーンは少なくとも2025年9月から開始され、2026年1月以降に活発化した。
Prismexは脆弱性CVE-2026-21513およびCVE-2026-21509を悪用する。4月3日にはTrend Microが、APT28が2022年4月から2023年11月にかけてCVE-2023-23397を悪用したNTLMv2ハッシュリレー攻撃を実施していたことも公表した。さらにFBIは、APT28が少なくとも2024年以降、CVE-2023-50224を介してTP-LinkルーターのDNS設定を改ざんし、認証情報を窃取してきたと警告。米司法省と連携してSOHOルーターネットワークを停止させた。英国のNCSCおよび各国パートナーも同様の警告を発している。
From: 
Russia’s ‘Fancy Bear’ APT Continues Its Global Onslaught
【編集部解説】
今回の一連の報告が示すのは、単なる「またロシアのハッカーが暗躍した」という話ではありません。Fancy Bear(APT28)は20年以上にわたって活動を続けてきた国家支援型の脅威アクターです。驚くべきは、その手口が洗練されているというよりも、「古い技術が今なお通用している」という事実にあります。
「DNSハイジャック」という技術は20年以上前から存在します。ご家庭のルーターがインターネットの住所案内役(DNS)を担っているのですが、そのルーターの設定を書き換えることで、ユーザーが「outlook.com」にアクセスしようとした際に、本物そっくりの偽サイトへ誘導できます。パスワードを入力した瞬間、それはGRUのサーバーへと送られています。被害者は何も気づかないまま、正規のサービスにログインできたように見えるのです。
今回の作戦規模は相当なものでした。CyberScoopや米司法省の発表によれば、120か国以上に及ぶSOHOルーターへの侵入が確認されています。またMicrosoft Threat Intelligenceは、200以上の組織と5,000台以上のコンシューマー機器への影響を報告しています。米国内だけでも23州が対象となり、FBIが裁判所命令のもと「Operation Masquerade」を実行しDNS設定を強制リセットするに至りました。
Prismexマルウェアについても注目すべき点があります。ステガノグラフィ(画像などに情報を隠す技術)やCOMハイジャックを組み合わせた高度な設計で、単なるスパイ活動にとどまらず「ワイパー」——データを消去する破壊ツール——も内包しています。つまりAPT28は、情報収集に加えて有事には破壊工作も辞さない準備を整えているということです。ウクライナ支援国の防衛サプライチェーンを狙っているという文脈は、これが純粋なサイバー犯罪ではなく、地政学的な戦略の一環であることを示しています。
防御側への示唆も重要です。元記事が引用する専門家の言葉を借りれば、「APT28と同じレベルの技術力を持つ必要はない」という点は明快です。MFAの導入、ルーターのファームウェア更新、パッチの適用、そしてゼロトラストの考え方——これらは決して最先端の話ではありませんが、APT28が初期侵入に使う手口の多くをこの基本線で防ぐことが可能です。問題は「侵入後」であり、そこには専門のSOCやISACとの連携が現実的な選択肢となります。
規制・政策面での影響も見逃せません。今回、FBI・米司法省・英国NCSC・Lumen Black Lotus Labs・Microsoftが一体となってOperation Masqueradeを実行したことは、「国際的な官民連携」によるサイバー脅威への対処が新たな標準になりつつあることを示しています。これはサイバーセキュリティ政策における多国間協調の重要性を改めて証明するケースとなるでしょう。
長期的な視点で見れば、APT28は消えません。今回のネットワーク停止はあくまで「現在進行中のキャンペーンを止めた」に過ぎず、彼らはすでに次の手を打っている可能性があります。TrendAIのフェイケ・ハクバード氏が指摘するとおり、「観察できている活動は、より広大な情報収集作戦の一部に過ぎない」のです。私たちが目にしているのは氷山の一角に過ぎないかもしれません。
【用語解説】
APT28 / Fancy Bear / Pawn Storm / Forest Blizzard
すべて同一の組織を指す別称。ロシア軍参謀本部情報総局(GRU)傘下のサイバースパイ集団で、正式にはGRU第26165部隊とされる。2000年代半ばから活動し、各セキュリティベンダーが独自の名称で追跡している。
GRU(ロシア連邦軍参謀本部情報総局)
ロシア軍の軍事情報機関。APT28はGRU第85主特殊サービスセンター(85th GTsSS)に属するとされ、国家の意思を背景に大規模なサイバー作戦を展開している。
Prismex
APT28が使用するマルウェアコンポーネント群の名称。ステガノグラフィ・COMハイジャック・クラウドサービス悪用を組み合わせており、スパイ活動に加えデータ消去(ワイパー)機能も備える。
NTLMv2ハッシュリレー攻撃
Windowsの認証プロトコル「NTLM」の仕組みを悪用した攻撃手法。被害者がサーバーに接続した際、パスワードそのものではなく「ハッシュ値(変換された認証情報)」を傍受・転送することで、正規ユーザーになりすましてシステムにアクセスできる。
CVE(Common Vulnerabilities and Exposures)
ソフトウェアの脆弱性に付与される世界共通の識別番号。「CVE-2023-23397」のように年号と連番で表記される。数字が若いほど古い脆弱性であり、パッチが存在しても適用されていない場合に悪用される。
DNSハイジャック
インターネットの「住所録」に相当するDNS(ドメインネームシステム)の設定を書き換えることで、ユーザーを偽サイトへ誘導する攻撃手法。ルーターのDNS設定が改ざんされると、接続するすべてのデバイスが攻撃者の管理下に置かれる。
SOHOルーター
Small Office / Home Officeルーターの略称で、家庭や小規模オフィス向けの安価なネットワーク機器。管理者によるメンテナンスが行き届きにくく、ファームウェアの更新が放置されやすいため、攻撃者の格好の標的となっている。
ステガノグラフィ
データを画像・音声・動画などの一見無害なファイルの中に隠蔽する技術。Prismexはこの手法を用いて、マルウェアの存在やC2(コマンド&コントロール)通信を検知されにくくしている。
COMハイジャック
Windowsが各種プログラムを呼び出す仕組み(Component Object Model)の脆弱な設定を悪用し、正規プロセスに見せかけて悪意あるコードを実行する手法。検知が難しい高度な永続化技術として知られる。
ワイパー
感染したシステムのデータを意図的に消去・破壊するマルウェアの総称。スパイ活動(情報収集)とは異なり、インフラや業務システムそのものを機能停止させることを目的とする。
MFA(多要素認証)
パスワードに加え、スマートフォンへの通知・生体認証・ワンタイムパスワードなど複数の認証要素を組み合わせる仕組み。パスワードが漏洩しても、それだけではログインできなくなる。
ゼロトラスト
「内部にいるユーザーも信頼しない」を前提とするセキュリティ設計の考え方。すべてのアクセスを継続的に検証し、最小限の権限のみを付与することで、万一の侵入後も被害の横展開を抑制する。
ISAC(情報共有・分析センター)
Information Sharing and Analysis Centerの略称で、業種別に組織された脅威情報の共有機関。金融・医療・エネルギーなど各セクターが独自のISACを持ち、中小規模の組織でも最新の脅威情報を入手できる仕組みを提供している。
SOC(セキュリティオペレーションセンター)
Security Operations Centerの略称で、24時間365日体制でシステムへの脅威を監視・検知・対応する専門チームまたは施設。リソースが限られる組織向けには、外部委託型の「マネージドSOC」サービスも普及している。
Operation Masquerade
FBIが米司法省・Lumen Black Lotus Labs・Microsoft等と連携して実施した裁判所承認済みのサイバー作戦の名称。GRUが侵害した米国内のSOHOルーターを対象に、DNS設定をリモートでリセットしてAPT28のアクセスを遮断した。
【参考リンク】
Trend Micro(トレンドマイクロ)(外部)
日本に本社を置くグローバルなサイバーセキュリティ企業。今回のPrismexおよびNTLMv2ハッシュリレー攻撃に関するAPT28リサーチを発表した。
FBI Cyber Division(外部)
米国連邦捜査局のサイバー犯罪捜査部門。Operation Masqueradeを主導し、GRUによるDNSハイジャックネットワーク停止に関する公式声明を発表した。
Microsoft Security(外部)
MicrosoftのセキュリティブランドサイトおよびThreat Intelligence部門。200以上の組織への影響を報告し、Operation Masqueradeに参画した。
UK National Cyber Security Centre(NCSC)(外部)
英国政府傘下のサイバーセキュリティ機関。APT28によるDNSハイジャックキャンペーンの詳細と侵害指標(IoC)を公開し、各国パートナーと共同警告を発した。
Dark Reading(外部)
今回の記事の掲載媒体。サイバーセキュリティの専門家・実務者向けに脅威インテリジェンスや脆弱性情報を専門に報道する業界メディア。
【参考記事】
Feds quash widespread Russia-backed espionage network spanning 18,000 devices|CyberScoop(外部)
Operation Masqueradeの詳報。120か国以上・18,000台のルーター侵入、200以上の組織と5,000台以上のコンシューマー機器への影響、23州での被害などの数値を詳述している。
Russian State-Linked APT28 Exploits SOHO Routers in Global DNS Hijacking Campaign|The Hacker News(外部)
FrostArmadaキャンペーンの開始時期(2025年5月〜)、ピーク時の規模(2025年12月・18,000以上のIPアドレス・120か国以上)、DNSリダイレクトの仕組みを技術的に解説している。
Russia’s APT28 behind latest wave of router, DNS attacks|The Register(外部)
英国NCSCがAPT28によるDNSハイジャック警告を発した経緯と、TP-Link・MikroTikルーターの悪用手口を簡潔に解説している。
Russian government hackers broke into thousands of home routers to steal passwords|TechCrunch(外部)
2016年DNCハック・2022年Viasatハックとの関連でFancy Bearの実績を整理しつつ、今回のルーター攻撃の手口をわかりやすく伝えている。
Russia’s GRU exploits vulnerable routers to steal sensitive data, Western intelligence warns|Decode39(外部)
FBI・NSA・ドイツ・イタリア・カナダ・北欧諸国など多国間連名警告の背景と、TP-LinkへのCVE-2023-50224悪用の技術的詳細を地政学的視点から解説している。
【編集部後記】
今夜、ご自宅のルーターのファームウェアを最後に更新したのはいつでしょうか。Fancy Bearが狙っているのは、国防省や大企業だけではありません。
「自分には関係ない」と思っていたその機器が、知らぬ間に諜報活動の踏み台になっているかもしれない——そんな時代に私たちは生きています。サイバー安全保障は、もはや専門家だけの問題ではないのかもしれません。
