米英当局は、APT28が古いルーターの既知脆弱性を悪用し、DNS設定を改ざんする攻撃を行ったと警告しました。ゼロデイではなく「放置された機器・初期設定・露出した管理画面」といった運用の隙が起点になり得る点が重要です。境界機器は一度侵害されると、同一ネットワーク配下の多数端末へ影響を波及させられます。情シスとしては、エンドポイント対策だけでは覆い切れない入口が残っている前提で見直す必要があります。
DNSは名前解決の基盤であり、ここを乗っ取られると正しいURL入力でも偽サイトへ誘導され得ます。認証情報の窃取やマルウェア感染だけでなく、SaaSやメールアカウント侵害に連鎖し、業務停止や不正送金の起点にもなります。HTTPSがあるから安全と考えるのは危険で、利用者が警告を無視する、攻撃者が正規証明書を取得した偽サイトを用意するなど成立パターンは残ります。検知が遅れるほど被害範囲が広がるため、「通信の入口」を守る設計が欠かせません。
古いルーターが狙われる背景には、サポート終了で修正されない脆弱性、WAN側に露出した管理画面、弱い認証、更新運用の欠如が重なります。まずルーターやUTM、VPN装置を棚卸しし、型番・ファームウェア・EoL期限を台帳化して更改計画に落とし込みます。次に管理プレーンを社内限定または管理用VPN経由にし、不要な遠隔管理やUPnP、安易なポート開放を停止します。加えて設定変更の差分監視やログ保全を行い、管理画面ログイン試行やDNS設定変更、異常な外向き通信を早期に検知できる状態へ寄せます。
DNSハイジャックが疑われる場合、端末側の対応だけでは根本解決になりません。ルーター設定のバックアップ、工場出荷リセット、再設定、認証情報の総入れ替え、証跡保全やISP連絡までを手順化しておくことが復旧時間を左右します。平時から「誰が・何を・どの順で」実施するかを決め、訓練しておくと初動の迷いを減らせます。境界機器の基本対策は地味ですが、国家支援級の攻撃者にも通用する費用対効果の高い防御線になります。
