家庭用ルーターのセキュリティ確保問題 「定期的に確認」は簡単そうで難しい？：半径300メートルのIT

警視庁が家庭用ルーターの不正利用に関する注意喚起を公開しました。ルーターの設定不備を狙ったサイバー攻撃が発生している今、対策を講じることは非常に大事ですが、“言うは易く行うは難し”かもしれません。

[宮田健，ITmedia]

　新年度がスタートしました。セキュリティの世界では絶え間なく脅威がやってくるので、年度が変わってもやることは変わりません。ただ、さまざまな情報がこの区切りで公開されることもあり、これまでやってきたことやすっかり忘れていたことをもう一度見直すといういい機会にしてくれればと思います。

　そんな中、少し悩ましい注意喚起が公開されました。セキュリティの世界では「言うは易く行うは難し」を地で行く話が多いと個人的には感じています。今回取り上げるニュースもこれに漏れず、「それを解決策というならそうですが実際には無理では……」と、あちこちで議論が生まれています。

家庭用ルーターのセキュリティ確保　言うは易く行うは難し

　警視庁は2023年3月28日、「家庭用ルーターの不正利用に関する注意喚起について」という文書を公開しました。一家に1台はあるはずの家庭用ルーターを狙ったサイバー攻撃に対し、利用者側でできるセキュリティ対策を記載しています。

警視庁は家庭用ルーターの不正利用について注意喚起を公開した（出典：警視庁のWebサイト）

　同注意喚起は、サイバー攻撃者が外部から不正操作によって家庭用ルーターの設定項目を変更する可能性があるとし、「初期設定の単純なIDやパスワードは変更する」「常に最新のファームウェアを使用する」「サポートが終了したルーターは買い替えを検討する」といった従来の対策に加えて、「見覚えのない設定変更がなされていないか定期的に確認する」ことも推奨しています。

　これ自体は特に不思議な話ではなく、本コラムでも口を酸っぱくして伝えてきた内容です。しかしこれをいざ実行に移すとなると、大変難しいと思います。ITに詳しく、ルーターをいじる趣味をお持ちの方ならまだしも、普通のご家庭では、ルーターの設定を「定期的に見直す」どころか、ここ数年ルーターの設定を見ていない、むしろルーターの設定の見方を知らないという方がほとんどではないでしょうか。

　家庭用ルーターは、家庭における防御の要であることは間違いありません。総務省や国立研究開発法人情報通信研究機構（NICT）、インターネットプロバイダーらは、脆弱（ぜいじゃく）な設定のルーターをはじめとしたIoT機器の利用者に注意喚起する取り組み「NOTICE」を実施しています。

　今回の話はサイバー攻撃が実行されており、脆弱なルーターが標的になっていることが背景にあります。そのため、まずは利用者自身でルーターの状態をチェックしようということなのかと思いますが、これは正に「言うは易く行うは難し」です。筆者としては注意喚起の意図には非常に納得しつつ、“普通の家庭”に対して、どうこれをアピールすべきなのか、今も頭を抱えています。

「人間が定期的に確認」は思った以上に難しい

　国内でルーターなどを販売するバッファローやNECプラットフォームズ、アイ・オー・データ機器といったベンダーは、この警視庁の注意喚起に対して全面的に賛同するリリースを公開しています。

　家庭用ルーターは、一度安定して動いてしまえば見直すことはほとんどないもので、もしかしたらファームウェアの更新もしていない状態かもしれません。それを踏まえると、家庭用ルーターをここしばらく買い換えていないという方は、まずはサポート期間をチェックし、サポート切れとなっていた場合は最新に買い換えてください。最新のものであれば、初期パスワードが機器個別の設定になっていたり、ファームウェアが自動で更新されたりといった、最低限のセキュリティ機能は搭載されているはずです。

　その上で問題は「設定変更が行われていないか、定期的に見直す」ことができるかどうかという話になります。家庭用ルーターであっても設定項目が多岐にわたるので、それをいちいち覚えることはまず不可能でしょう。それでも“これだけはチェックしてほしい”のは以下の項目です。

• ルーターの初期パスワードを変更する
• 勝手にVPN設定がオンになっていたらオフに戻す
• 勝手にDNS設定が変更になっていたらデフォルトに戻す
• 勝手にインターネット（外部）からルーターの管理画面への接続設定がオンにされていたらオフに戻す

　この“勝手に”というのが問題で、不正な攻撃が原因であった場合、元に戻してもいつの間にかオンになっていることがあります。そうなると、マルウェアに感染したデバイスがないかどうかを含め、さらなる厳重なチェックが必要になるでしょう。単にルーターの設定を元に戻すだけでは、解決策になっていない可能性があるわけです。

　もし対策が「人間が定期的に確認しましょう」という個人の努力に頼るものしかないのであれば、それはセキュリティ的には危険な状態です。根本的な解決策は、ルーター自体が強制的に最新の状態にアップデートされ、設定変更についても通知を飛ばしたり、一般家庭向けには設定変更をさせなかったりといった、セキュリティ機能を搭載することだと思います。

　その意味では、古いルーターはできる限り買い換えてほしいと思いますが、買い換えた新製品がセキュアでなければ意味がありません。警視庁の注意喚起を受け、普通の家庭が普通の知識だけで、普通に安全になるセキュアなルーターが一般的になってくれないと、インターネットを安全に使えないことになってしまうのではないでしょうか。この点では各種家庭用ルーターを作る日本のベンダーに、注意喚起に賛同するだけでなく、根本的な改善策を機能として実装した新しい家庭用ルーターを製造することに期待したいと思います。

　今回の話は企業においても教訓になるはずです。読者の皆さんの組織においても「Webサイトのファイル群」「アプリの設定」などが、いつの間にか変更されている可能性があります。こうした資産の変更を把握するには、世に多く出ている構成管理や変更管理などのソリューションを利用するといいでしょう。一つの設定ミスが大きなインシデントにつながる今、不正にもしくは意図せず行われた変更を検知できるかどうか、このタイミングでしっかりチェックしてみてください。これはさすがに“人の目で”定期的に確認するのは不可能ですよ。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。