ロシアのサイバー諜報活動

ルーターハッキングからイランへの衛星情報提供まで——ロシアの新次元サイバー作戦の実態

2026.04.15

発行元: 一般財団法人 日本危機管理研究所

筆者: 舩山 美保

◆ 本稿のねらい

本稿は、2026年4月13日にNSA・FBIが発したWi-Fiルーター再起動勧告を起点に、その背景にあるロシアGRU(軍参謀本部情報総局)の組織的サイバー作戦の実態と、それが2026年2月に始まった米・イスラエル対イラン軍事衝突にどう連動しているかを明らかにする。サイバー攻撃はもはや「情報窃取」にとどまらず、物理的な軍事攻撃の精度を高めるインテリジェンス基盤となっている。政策立案者・報道機関・企業リスク担当者が取るべき行動を具体的に提示する。

【著者注】本稿はNSA・FBIほか20か国以上の公式勧告(2026年4月7日)、米司法省発表、および複数の主要米メディアによる政府当局者への取材報道を主要情報源とする。ロシア・イランの軍事協力に関する部分は、米政府当局者(匿名)の証言に基づく報道段階の情報であり、独立した第三者機関による公式確認は現時点で取れていない。推論箇所はその旨を明示する。

◆ キーワード *用語集は巻末

ロシアGRU第85特殊サービスセンター(ロシア本部情報局)/ GRU 85th GTsSS

APT28(ロシア政府系ハッキンググループ) / Fancy Bear Forest Blizzard / Sofacy

DNSハイジャック/ DNS Hijacking

中間者攻撃/ Adversary-in-the-Middle (AitM)

小規模オフィス・家庭用ルーター /SOHO Router

オペレーション・マスカレード /Operation Masquerade (FBI)

対イランインテリジェンス共有/ Russia–Iran Intel Sharing

サイバー・物理融合攻撃 /Cyber-Physical Convergence

◆ エグゼクティブサマリー

1. NSA・FBI・英NCSCほか20か国以上が2026年4月7日に共同勧告を発表。ロシアGRUのAPT28が世界中の家庭・小規模オフィス用ルーターを侵害し、2024年以降DNSハイジャックによる認証情報窃取を継続している。

2. ピーク時(2025年12月)に120か国以上・1万8,000以上のIPアドレスがAPT28インフラと通信。Microsoftは200以上の組織・5,000台の家庭用機器への影響を確認(Microsoft Threat Intelligence報告書、2026年4月)。

3. FBIは「オペレーション・マスカレード」を実施。裁判所の許可のもと米国内の侵害ルーターに直接アクセスし、GRUのDNS設定を強制リセット。前例のない能動的防御措置。

4. 2026年2月28日の米・イスラエルによる対イラン攻撃開始後、ロシアが米軍の艦船・航空機・基地の位置情報をイランに提供したと、ワシントンポスト・CNN・NBCが米政府当局者(匿名)の証言として報道。現時点では報道段階の情報である。

5. ウクライナ情報当局の発表によれば、ロシア衛星が3月21〜31日の10日間に中東11か国46施設を24回以上撮影し、数日以内にイランのミサイル・ドローンが同施設を攻撃したとされる(発表主体はウクライナ当局であり、西側独立機関による裏付けは現時点で限定的)。

6. 日本への直接的示唆:在日米軍基地・エネルギーインフラ・自衛隊ネットワークに接続する家庭用・企業用ルーターが同様の侵害対象となり得る。テレワーク拡大がリスクを拡大している。

1.「ルーターを再起動せよ」——その警告の本当の意味

2026年4月13日、米国家安全保障局(NSA)とFBIは異例の共同声明を発表した。内容は「自宅のWi-Fiルーターを再起動し、ファームウェアを更新せよ」という、一見シンプルなものだった。しかし、その背後にはロシア軍参謀本部情報総局(GRU)による組織的なサイバー諜報作戦の全容が隠されていた。この勧告は、1週間前の4月7日にFBI・NSA・英国家サイバーセキュリティセンター(NCSC)・米司法省、そして米国・カナダ・チェコ・ドイツ・ウクライナほか20か国以上が参加した国際共同勧告に続くものだった(出典:IC3 PSA260407、2026年4月7日)。

ロシア政府系ハッキンググループ 「APT28」 DNSハイジャック攻撃の手口

STEP 1  脆弱なルーターへの侵入 

TP-Link等のSOHOルーターの既知脆弱性(CVE-2023-50224)を悪用。認証不要でパスワードを窃取。

STEP 2   DNS設定の書き換え 

ルーターのDNSサーバーアドレスをGRU管理の悪意あるサーバーに変更。同ネットワーク上の全端末に影響。

STEP 3  中間者攻撃(AitM) 

「outlook.com」等の正規サービスをGRU制御の偽サイトに誘導。ユーザーが正しいURLを入力しても偽サイトへ誘導される。

STEP 4  最終目標  認証情報・トークンの収集 

パスワード、OAuthトークン、メール内容を自動収集。

政府・軍・重要インフラ関係者の情報を選別。

2.「高度な攻撃」は、実は単純だった

GRUの手口で最も重要なのは、被害者のコンピューターに何も仕掛ける必要がないという点だ。攻撃者はリビングルームに置かれた、数年前に設定したまま更新されていないルーターのDNS設定を変えるだけでよかった。そこから先は、スマートフォンも、ノートPCも、すべてが「ルーターの言う通り」に動く。

GRUの作戦は「無差別かつ精密」という二段階の構造を持つ。まず世界中のルーターを広範に侵害し、次にDNSクエリを自動分析して政府・軍・重要インフラ関係者の通信を選別する。ピーク時(2025年12月)には120か国以上から1万8,000以上のIPアドレスがGRUのインフラと通信しており、Microsoft Threat Intelligenceは200以上の組織と5,000台の家庭用機器への影響を2026年4月の分析報告書で確認した。

「GRUは米国の家庭や企業のネットワークを悪意ある作戦に利用し続けており、これは深刻かつ持続的な脅威だ」 — 米司法省 国家安全保障担当次官補(2026年4月7日)

3. FBIの前例なき反撃——「オペレーション・マスカレード作戦」

4月7日、FBI・ボストン支局は「オペレーション・マスカレード」の実施を公表した(出典:米司法省プレスリリース、2026年4月7日)。連邦裁判所の許可を得て、GRUが侵害した米国内のルーターに対してFBI自身がリモートアクセスし、GRUのDNS設定を削除してISPからの正規DNSに復元した。

これは、民間インフラへの能動的サイバー防御という点で、米国サイバーセキュリティ政策上の大きな転換点を示す。同時に、「勧告するだけでは足りない」という当局の判断が、問題の深刻さを物語っている。

4. サイバーと物理の融合——ロシアはイランに何を渡したか

【情報精度に関する注記】本セクションで述べるロシア・イラン連携の具体的内容は、ワシントンポスト・CNN・NBCが米政府当局者(いずれも匿名)の証言として報じたものである。公式の情報公開や独立第三者機関による確認は現時点では行われていない。推論箇所はその旨を明示する。

APT28によるサイバー諜報活動が進む中、2026年2月28日に米国とイスラエルが対イラン軍事作戦「オペレーション・エピック・フューリー」を開始した。この時点から、ロシアのサイバー能力は別の局面へ移行した兆候が複数の情報源から報告されている。

ワシントンポスト、CNN、NBCなど主要米メディアが匿名の米政府当局者の証言として報じたところによれば、ロシアはイランに対し、米軍の艦船・航空機・基地の位置情報を衛星画像を含むリアルタイムデータとして提供したとされる。この報道は現時点で報道段階にとどまり、米政府による公式確認はなされていない。

ウクライナの情報当局はさらに詳細を公表し、ロシアの衛星が3月21日から31日の10日間に中東11か国46施設を少なくとも24回撮影し、その後数日以内にイランのミサイルやドローンがそれらの施設を攻撃したと指摘した。ただし、この主張はウクライナ当局による発表であり、独立した西側機関による検証は現時点で限定的である点に留意が必要だ。

ゼレンスキー大統領もイスラエルのエネルギーインフラに関するロシアの衛星情報がイランに提供されたと述べ、「ロシアがウクライナの電力網攻撃で得た経験がイランと共有されている」と主張している(Euronews報道、2026年4月7日)。

【推論】APT28が収集した認証情報・通信内容が衛星画像と組み合わせてイランへの標的情報として活用された可能性は排除できない。ただし、両者を直接結ぶ公開された証拠は現時点で存在せず、これは状況証拠と複数の匿名証言から導かれる推論である。イランの攻撃精度の向上がこの情報支援を傍証する可能性はあるが、断定には至らない。

5. なぜこれが「あなたの問題」なのか

この問題を遠い外国の軍事的話題と捉えるのは危険だ。テレワークが常態化した現代、自宅のルーターは組織のネットワークへの入り口である。軍人・外交官・政府職員・防衛関連企業の従業員が在宅勤務中に使うルーターが侵害されれば、そのVPN認証情報や業務メールの内容が収集される。TP-LinkルーターのCVE-2023-50224という脆弱性は2023年時点で既知のものだった。しかし多くのユーザーはファームウェアを更新しておらず、デフォルトのパスワードのまま使い続けていた。GRUはこの状態を2年以上にわたって組織的に利用した。技術的な高度さよりも、管理の怠慢へのロシアによる組織的な着目が今回の作戦の本質である。

6.まとめ 日本への示唆

在日米軍基地

在日米軍基地の周辺・関係者の自宅ルーターは、米軍通信網への潜在的な侵入口となり得る。日米同盟に係わる機密情報が標的となるリスクは直接的だ。

エネルギー/インフラ

日本の電力・ガス・原子力インフラは「重要インフラ」としてAPT28の標的リストと重複する。遠隔監視システムへの接続に使用されるネットワーク機器の管理状況の総点検が急務だ。

政府/自治体

中央省庁・地方自治体職員のテレワーク端末が経由する家庭用ルーターは、行政情報の漏洩リスクをはらむ。政府支給端末にVPNを義務付けるだけでは不十分で、ルーター側の管理も必要だ。

防衛産業

防衛関連企業の従業員が在宅勤務で扱う情報が、同盟国・パートナー国の安全保障に影響する可能性がある。サプライチェーン全体でのルーターセキュリティ基準の策定を検討すべきだ。

今すぐできること:

①ルーターのファームウェアを更新、

②デフォルトのパスワードを変更、

③リモート管理機能を無効化、

④サポートが終了した機器は交換。再起動だけでは不十分で、DNS設定の確認が必要。

※ 再起動だけでは不十分。ファームウェア更新後に必ずDNS設定(プライマリ・セカンダリ)がISP正規のアドレスになっているかを確認すること。

◆ 参考資料

FBI / IC3 PSA260407 — Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Information (2026.4.7) [ic3.gov]

US DOJ — Justice Department Conducts Court-Authorized Disruption of DNS Hijacking Network Controlled by Russian GRU (2026.4.7) [justice.gov]

UK NCSC Advisory — APT28 exploit routers to enable DNS hijacking operations (2026.4.7) [ncsc.gov.uk]

NSA Press Release — NSA Supports FBI in Highlighting Russian GRU Threats Against Routers (2026.4.7) [nsa.gov]

Washington Post / CNN / NBC News — Russia is providing Iran with targeting information to attack American forces (2026.3.6) ※匿名当局者証言に基づく報道

Euronews / Ukrainian Intelligence — Russia provided Iran with intelligence on Israeli energy sites (2026.4.7) [euronews.com] ※ウクライナ当局発表に基づく報道

Microsoft Threat Intelligence — FrostArmada campaign: Forest Blizzard / Storm-2754 analysis (2026.4) [microsoft.com]

Lumen Black Lotus Labs — FrostArmada campaign technical report (2026.4) [lumen.com]

Newsmax — NSA Urges Americans to Reboot Wi-Fi Routers (2026.4.13) [newsmax.com]

用語集

APT28(Advanced Persistent Threat 28)

ロシアGRU第85主要特殊サービスセンター(軍部隊26165)に帰属するサイバー脅威アクター。Fancy Bear、Forest Blizzard、Sofacy等の別名を持つ。2004年以来活動が確認されている。

DNSハイジャック(DNS Hijacking)

Domain Name Systemの設定を改ざんし、ユーザーを正規サイトではなく攻撃者が管理する偽サイトに誘導する攻撃手法。ルーターを乗っ取ることで同一ネットワーク上の全端末に影響が及ぶ。

AitM攻撃(Adversary-in-the-Middle)

通信経路の中間に攻撃者が割り込み、送受信されるデータを盗み見・改ざんする攻撃。パスワードや認証トークンの窃取に悪用される。

SOHOルーター(Small Office/Home Office Router)

家庭や小規模オフィス向けのインターネット接続機器。TP-Link、MikroTik等が代表的。企業用と異なりセキュリティ管理が行き届きにくく、国家系APTの標的になりやすい。

CVE-2023-50224

TP-Link製ルーターに存在する認証バイパス脆弱性。悪意ある攻撃者が認証なしにパスワード情報を取得できる。APT28が今回の作戦で主に悪用した脆弱性として、FBI勧告に明記されている。

GRU(ロシア軍参謀本部情報総局)

ロシア連邦軍の軍事情報機関。APT28(部隊26165)のほか、NotPetya攻撃を実行したSandworm(部隊74455)等を傘下に持つ。対外情報機関SVRとは別組織。

シンクホール(Sinkholing)

悪意あるドメインやIPアドレスを法執行機関が管理するサーバーに向け直し、攻撃インフラを無力化する手法。