家庭用ルーターのセキュリティ確保問題 「定期的に確認」は簡単そうで難しい?:半径300メートルのIT
警視庁が家庭用ルーターの不正利用に関する注意喚起を公開しました。ルーターの設定不備を狙ったサイバー攻撃が発生している今、対策を講じることは非常に大事ですが、“言うは易く行うは難し”かもしれません。
新年度がスタートしました。セキュリティの世界では絶え間なく脅威がやってくるので、年度が変わってもやることは変わりません。ただ、さまざまな情報がこの区切りで公開されることもあり、これまでやってきたことやすっかり忘れていたことをもう一度見直すといういい機会にしてくれればと思います。
そんな中、少し悩ましい注意喚起が公開されました。セキュリティの世界では「言うは易く行うは難し」を地で行く話が多いと個人的には感じています。今回取り上げるニュースもこれに漏れず、「それを解決策というならそうですが実際には無理では……」と、あちこちで議論が生まれています。
家庭用ルーターのセキュリティ確保 言うは易く行うは難し
警視庁は2023年3月28日、「家庭用ルーターの不正利用に関する注意喚起について」という文書を公開しました。一家に1台はあるはずの家庭用ルーターを狙ったサイバー攻撃に対し、利用者側でできるセキュリティ対策を記載しています。
同注意喚起は、サイバー攻撃者が外部から不正操作によって家庭用ルーターの設定項目を変更する可能性があるとし、「初期設定の単純なIDやパスワードは変更する」「常に最新のファームウェアを使用する」「サポートが終了したルーターは買い替えを検討する」といった従来の対策に加えて、「見覚えのない設定変更がなされていないか定期的に確認する」ことも推奨しています。
これ自体は特に不思議な話ではなく、本コラムでも口を酸っぱくして伝えてきた内容です。しかしこれをいざ実行に移すとなると、大変難しいと思います。ITに詳しく、ルーターをいじる趣味をお持ちの方ならまだしも、普通のご家庭では、ルーターの設定を「定期的に見直す」どころか、ここ数年ルーターの設定を見ていない、むしろルーターの設定の見方を知らないという方がほとんどではないでしょうか。
家庭用ルーターは、家庭における防御の要であることは間違いありません。総務省や国立研究開発法人情報通信研究機構(NICT)、インターネットプロバイダーらは、脆弱(ぜいじゃく)な設定のルーターをはじめとしたIoT機器の利用者に注意喚起する取り組み「NOTICE」を実施しています。
今回の話はサイバー攻撃が実行されており、脆弱なルーターが標的になっていることが背景にあります。そのため、まずは利用者自身でルーターの状態をチェックしようということなのかと思いますが、これは正に「言うは易く行うは難し」です。筆者としては注意喚起の意図には非常に納得しつつ、“普通の家庭”に対して、どうこれをアピールすべきなのか、今も頭を抱えています。
「人間が定期的に確認」は思った以上に難しい
国内でルーターなどを販売するバッファローやNECプラットフォームズ、アイ・オー・データ機器といったベンダーは、この警視庁の注意喚起に対して全面的に賛同するリリースを公開しています。
家庭用ルーターは、一度安定して動いてしまえば見直すことはほとんどないもので、もしかしたらファームウェアの更新もしていない状態かもしれません。それを踏まえると、家庭用ルーターをここしばらく買い換えていないという方は、まずはサポート期間をチェックし、サポート切れとなっていた場合は最新に買い換えてください。最新のものであれば、初期パスワードが機器個別の設定になっていたり、ファームウェアが自動で更新されたりといった、最低限のセキュリティ機能は搭載されているはずです。
その上で問題は「設定変更が行われていないか、定期的に見直す」ことができるかどうかという話になります。家庭用ルーターであっても設定項目が多岐にわたるので、それをいちいち覚えることはまず不可能でしょう。それでも“これだけはチェックしてほしい”のは以下の項目です。
- ルーターの初期パスワードを変更する
- 勝手にVPN設定がオンになっていたらオフに戻す
- 勝手にDNS設定が変更になっていたらデフォルトに戻す
- 勝手にインターネット(外部)からルーターの管理画面への接続設定がオンにされていたらオフに戻す
この“勝手に”というのが問題で、不正な攻撃が原因であった場合、元に戻してもいつの間にかオンになっていることがあります。そうなると、マルウェアに感染したデバイスがないかどうかを含め、さらなる厳重なチェックが必要になるでしょう。単にルーターの設定を元に戻すだけでは、解決策になっていない可能性があるわけです。
もし対策が「人間が定期的に確認しましょう」という個人の努力に頼るものしかないのであれば、それはセキュリティ的には危険な状態です。根本的な解決策は、ルーター自体が強制的に最新の状態にアップデートされ、設定変更についても通知を飛ばしたり、一般家庭向けには設定変更をさせなかったりといった、セキュリティ機能を搭載することだと思います。
その意味では、古いルーターはできる限り買い換えてほしいと思いますが、買い換えた新製品がセキュアでなければ意味がありません。警視庁の注意喚起を受け、普通の家庭が普通の知識だけで、普通に安全になるセキュアなルーターが一般的になってくれないと、インターネットを安全に使えないことになってしまうのではないでしょうか。この点では各種家庭用ルーターを作る日本のベンダーに、注意喚起に賛同するだけでなく、根本的な改善策を機能として実装した新しい家庭用ルーターを製造することに期待したいと思います。
今回の話は企業においても教訓になるはずです。読者の皆さんの組織においても「Webサイトのファイル群」「アプリの設定」などが、いつの間にか変更されている可能性があります。こうした資産の変更を把握するには、世に多く出ている構成管理や変更管理などのソリューションを利用するといいでしょう。一つの設定ミスが大きなインシデントにつながる今、不正にもしくは意図せず行われた変更を検知できるかどうか、このタイミングでしっかりチェックしてみてください。これはさすがに“人の目で”定期的に確認するのは不可能ですよ。
関連記事
- テレワーク環境を再考しよう 家庭用ルーターから始めるセキュリティ対策
COVID-19の影響によりテレワークが増加し、家庭向けルーターにもエンタープライズ用の機能やセキュリティ対策が求められています。テレワーク環境に適したルーターの機能を紹介します。 - サイバー攻撃者視点で“攻めにくいシステム”とは――上野 宣氏が語る
境界型セキュリティの限界が唱えられて久しい中、企業が目指すべき対策とは何か。現役のペネトレーションテスターである上野 宣氏が、サイバー攻撃者の視点で有効なセキュリティ対策を語った。 - “従業員を巻き込む”セキュリティ対策で、10大脅威に対抗せよ
IPAによる2023年版「情報セキュリティ10大脅威」の解説書が公開されました。10大脅威はランキングを知るだけで満足してしまいがちですが、本当に大切なのはこの後。解説書に書かれた対策を実践することなのです。 - “脆弱性対策はサボったら負け” リソース不足の組織がやるべき“基本のき”
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。
関連リンク
- 警視庁広報課のTwitterアカウント
- 家庭用ルーターの不正利用に関する注意喚起について(警視庁)
- サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト(NOTICE)
- 警視庁の「家庭用ルーターの不正利用に関する注意喚起」の取り組みに賛同 〜 安心してインターネットを利用するために、適切なセキュリティー対策を 〜(バッファロー)
- 警視庁の「家庭用ルーターの不正利用に関する注意喚起」の取り組みに賛同 〜安心してインターネットを利用するために、適切なセキュリティ対策を〜(NECプラットフォームズ)
- 警視庁の「家庭用ルーターの不正利用に関する注意喚起」の取り組みに賛同〜安心してインターネットを利用するために、適切なセキュリティ対策を〜(IODATA アイ・オー・データ機器)
Copyright © ITmedia, Inc. All Rights Reserved.