米英加豪など18機関、ロシアによるルーターを悪用した重要インフラへのサイバー攻撃を警告

セキュリティニュース

投稿日時: 更新日時:

米英加豪など18機関、ロシアによるルーターを悪用した重要インフラへのサイバー攻撃を警告

米国のNSA・FBI・CISAを中心に、英国・オーストラリア・カナダ・ニュージーランド・エストニア・フィンランド・フランス・イタリアなど12カ国18機関は2026年7月、ロシア連邦保安庁(FSB)の「第16センター」に帰属するハッカーが、脆弱または設定不備のあるルーターを標的に世界の重要インフラネットワークへ侵入を試みているとする共同勧告を公表しました。

あわせて英国と欧州連合(EU)加盟国は、2025年12月に発生したポーランドの電力網への攻撃についても、同じFSB第16センターによるものだと正式に認定しています。当サイトでも以前、ロシア・中国・イランによる国家とサイバープロキシの結託構造や、追い詰められたロシアによる西欧諸国での技術窃取・スパイ活動の活発化を取り上げてきましたが、今回の勧告はこうした一連の動きの中で、ロシアの国家機関自身が重要インフラのネットワーク機器を直接標的にしている実態を、多国間で公式に裏付けるものです。

サマリー

  • NSA・FBI・CISA(米国)を中心に、英国NCSC・カナダ・オーストラリア・ニュージーランド・エストニア・フィンランド・フランス・イタリア・チェコ・デンマーク・ポーランド・スウェーデンなど、12カ国18機関が共同でサイバーセキュリティ勧告を公表した
  • 勧告は、ロシア連邦保安庁(FSB)の「第16センター」に帰属するハッカー(別名Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard、Static Tundra)が、脆弱または設定不備のあるルーターを標的に世界の重要インフラネットワークへ日和見的に侵入を試みていると警告している
  • 攻撃者は、初期設定または脆弱なSNMP(簡易ネットワーク管理プロトコル)の認証文字列(コミュニティ文字列)を使い続けているルーターをインターネット上でスキャンし、発信元IPアドレスを偽装したコマンドを発行してデバイスの設定ファイルをコピーし、TFTP(Trivial File Transfer Protocol)経由で攻撃者管理下のサーバーへ持ち出す
  • 同グループは2021年11月以降、CiscoのSmart Install機能に存在する脆弱性CVE-2018-0171(CVSS 9.8)も継続的に悪用しており、2025年8月時点でFBIは、この1年間だけで米国内の重要インフラ関連組織に紐づく数千台のネットワーク機器から設定情報を収集していたと警告していた
  • 最も標的にされやすい分野として、エネルギー、通信、防衛産業基盤、医療、金融サービス、防衛、州・地方自治体サービスが挙げられている
  • 英国と欧州連合(EU)加盟国は今回あわせて、2025年12月に発生したポーランドの電力網に対する攻撃を、同じFSB第16センターによるものと正式に認定した。この攻撃は、仮に成功していれば最大50万人の市民が停電の影響を受けていた可能性があるとされている
  • 推奨される対策として、SNMPv3の利用と旧バージョンのSNMPの無効化、ネットワーク機器への強固かつ一意なパスワードの設定、管理用プロトコルへのアクセス制限などが挙げられている
項目 内容
公表時期 2026年7月(NSA資料の日付は7月9日、報道は7月13日)
勧告の共同発行機関 NSA・FBI・CISA(米国)ほか、英・加・豪・NZ・エストニア・フィンランド・フランス・イタリア・チェコ・デンマーク・ポーランド・スウェーデンなど12カ国18機関
攻撃者の帰属 ロシア連邦保安庁(FSB)第16センター(別名Berserk Bear、Energetic Bear、Dragonfly、Static Tundra等)
主な手口 脆弱なSNMP認証情報を持つルーターのスキャン、IPアドレス偽装によるコマンド発行、TFTP経由での設定ファイル持ち出し
あわせて悪用される脆弱性 CVE-2018-0171(Cisco Smart Install、CVSS 9.8)、2021年11月以降悪用継続
最も標的にされやすい分野 エネルギー、通信、防衛産業基盤、医療、金融サービス、防衛、政府サービス
ポーランド電力網攻撃への帰属 2025年12月発生、英・EUが同グループの犯行と正式認定、最大50万人が停電の恐れ
主な推奨対策 SNMPv3への移行、旧SNMPの無効化、強固なパスワード、管理プロトコルへのアクセス制限

何が起きたか-18機関による共同勧告

今回の共同勧告は、NSA・FBI・CISAが中心となって作成し、英国のNCSC(国家サイバーセキュリティセンター、GCHQの一部)を含む12カ国18機関が共同署名する形で公表されました。勧告は、ロシア連邦保安庁(FSB)の「第16センター」に帰属するハッカーが、脆弱または設定不備のあるルーターを世界規模でスキャンし、エネルギー・通信・防衛産業基盤・医療・金融サービス・防衛・政府サービスといった重要インフラ分野のネットワークへ日和見的に侵入を試みていると警告しています。

英国NCSCの発表によれば、このグループは別名Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard、そしてCisco Talosの分析では「Static Tundra」とも呼ばれています。

FSB第16センター(Static Tundra)とは-10年以上続く長期潜伏型のスパイ活動

Cisco Talosの分析によれば、Static TundraはFSB第16センターに関連するとみられるロシアの国家支援型サイバースパイ集団で、10年以上にわたって活動を続けており、長期的な諜報活動を目的にネットワーク機器の侵害を専門としています。

同グループは、SMI(Smart Install)やSNMPバージョン1・2といった、暗号化されていない旧式のプロトコルを受け入れ続けているデバイスを主な標的としてきました。2015年に公表された「SYNful Knock」と呼ばれるカスタムのファームウェア型インプラント(バックドア)を、一部のCisco製デバイスに展開してきたことでも知られています。米司法省は2022年の起訴において、Static Tundraの前身とみられる「Energetic Bear(別名Berserk Bear)」をFSB第16センターに関連づけています。標的分野は当初、通信・高等教育・製造業が中心でしたが、ロシアの戦略的関心の変化にあわせて標的を移してきたとされています。

具体的な攻撃手口-SNMPの悪用とCisco Smart Installの脆弱性

同グループの初期侵入の主な手口は、インターネット上のIPアドレス範囲をスキャンし、初期設定または広く使われている推測しやすいSNMP認証文字列(コミュニティ文字列)を使い続けているルーターを探し出すことです。侵入後は、SNMPサービスに対して侵害済みのコミュニティ文字列を使ってやり取りし、場合によっては発信元アドレスを偽装することで、自らのインフラを隠しつつアクセス制御リスト(ACL)を回避します。

SNMPプロトコルはセッション確立の仕組みを持たないため、こうした偽装が可能になるとされています。SNMP経由でコマンドを直接実行したり、稼働中の設定を改変したり、稼働中・起動時の設定情報を抽出したりできるほか、リモートサーバーからテキストファイルをダウンロードして稼働中の設定に追記させることで、新たなローカルユーザーアカウントの作成やTELNETなどのリモートサービスの有効化を通じ、追加のアクセス手段を確保することもできるとされています。

設定情報の持ち出し経路としては、Smart Installの悪用手順を通じた受信方向のTFTP接続、侵害済みデバイスから攻撃者管理下のインフラへの送信方向のTFTPまたはFTP接続、そしてSNMPの設定コピー機能を使った受信方向の接続など、複数の手段が確認されています。あわせて、TACACS+の設定を改変してリモートロギング機能を妨げたり、特定のIPアドレス・範囲からのアクセスのみを許可するようACLを改変したりする行為も観測されており、痕跡の隠蔽を図る意図がうかがえます。標的の選定にはShodanやCensysといった一般に公開されているスキャンデータが利用されている可能性が高いとみられています。

こうしたSNMPの悪用に加えて、同グループは2021年11月以降、CiscoのIOSおよびIOS XEソフトウエアのSmart Install機能に存在する脆弱性CVE-2018-0171(CVSS 9.8)も継続的に悪用してきました。この脆弱性は2018年からパッチが提供されているものの、サポート終了(EOL)を迎えた機器を中心に、いまだ多くのデバイスが未対応のまま残されています。FBIは2025年8月の警告で、過去1年間だけで米国内の重要インフラ関連組織に紐づく数千台のネットワーク機器から設定ファイルを収集していたこと、一部の脆弱なデバイスでは設定ファイルを改変して不正アクセスを可能にし、被害者ネットワーク内での偵察活動を行っていたことを明らかにしています。

ポーランド電力網攻撃への正式な帰属

今回の共同勧告にあわせて、英国と欧州連合(EU)加盟国は、2025年12月に発生したポーランドの電力網に対する攻撃について、同じFSB第16センターによるものだと正式に認定しました。英国NCSCの説明によれば、この攻撃は仮に成功していれば最大50万人の市民が停電の影響を受けていた可能性があるとされています。国家の重要インフラを標的にした攻撃が、実際に大規模な停電を引き起こしかねない規模にまで至っていたことが公式に確認された事例であり、今回の共同勧告が示す脅威の深刻さを裏付ける具体的な事例だといえます。

情報システム部門への示唆

英国NCSCが示す推奨対策の柱は、SNMPv3への移行と旧バージョンのSNMP(バージョン1・2)の無効化、ネットワーク機器への強固かつ一意なパスワードの設定、そして管理用プロトコルへのアクセスを適切なアクセス制御によって制限することです。Cisco Talosの分析でもあわせて、管理用通信チャネルの暗号化、旧式プロトコルの無効化、SNMPおよびAAA(認証・認可・アカウンティング)ポリシーの強化、NetFlowやログ監視・侵入検知シグネチャを活用したルーターの挙動プロファイリング、正確な機器インベントリの維持、そして重要な機器へのリモートアクセスの制限が推奨されています。

自組織でCisco製ネットワーク機器を運用している場合、Smart Install機能を業務上使用していないのであれば無効化を検討し、CVE-2018-0171への対応状況をあらためて確認することをお勧めします。パッチが2018年から提供されているにもかかわらず、サポート終了を迎えた機器を中心にいまだ悪用が続いているという事実は、境界に置かれたネットワーク機器のパッチ適用・棚卸しがいかに軽視されがちであるかを物語っています。あわせて、通常のログ記録量が急に減少したり、記録に不自然な空白期間が生じたりしていないか、syslogやAAAログを定期的に確認することも、こうした痕跡隠蔽を伴う侵入を早期に検知するうえで有効です。国家が背後にいるとみられる攻撃者は、ひとたび侵入に成功すると数年単位で長期潜伏する傾向があるため、境界のネットワーク機器を「設定して忘れる」対象にせず、定期的な監査・認証情報のローテーション・アクセス制御の見直しを継続的な運用として組み込むことが重要です。

 

出典