同社の調査では、もっと深刻な問題も明らかになりました。「複数のメーカーが提供するルーターで、初期設定のSSIDとMACアドレスから、ある一定の数式に基づいてWPAキーを算出できることが確認できました。それでもルーターへのログイン設定をきちんと行っていればいいのですが、中には隠しアカウントが用意されており、簡単にログインできてしまう機器もあることが判明しています」(萩原さん)
つまり、攻撃者がスマホのWi-Fi設定をオンにしたまま町中を歩き回ってSSID情報を収集すれば、そこからWi-Fiにただ乗りし、ルーターにログインして設定を変更される危険性があるわけです。もしそれが、テレワークで社内システムへのアクセスに使われている場合、侵害の糸口になる恐れもあります。対策は、アカウント同様、初期設定のまま使い続けるのではなく、SSIDも独自の文字列に変更することです。
「なんとなく初期設定のWPAのまま家庭用ルーターを利用している人は少なくないでしょうが、実はそれは非常に危ないことです。今までは『家庭用ルーターに問題があっても、動画とかが見られなくなるだけでしょ』という程度の問題でしたが、テレワークが広がる中では、ビジネスの継続性が損なわれる問題になってしまいます」(萩原さん)
ゼロゼロワンではこの問題についてメーカーに報告したほか、一部は情報処理推進機構(IPA)経由で脆弱性情報を届け出て、対応を待っているそうです。攻撃者に悪用される事態を避けつつ対応を広げるにはどのように情報を発信するのがいいか、関係省庁とも相談しながら検討しているといいます。
連絡を受けたメーカー側の対応はさまざまで、萩原さんによると「真摯(しんし)に取り組みたいとおっしゃるベンダーもあれば、消極的な対応にとどまっているところもあります」という具合だそうです。こうした話を聞くに付け、ルーターをはじめとする通信機器のライフサイクルやサポート期間を真剣に検討しなければいけないという課題を痛感します。
情報通信研究機構(NICT)による注意喚起もあり、通信/IoT機器のセキュリティを巡る状況は確かに改善の方向に向かっています。しかし「急に好転するわけではなく、底上げには時間が必要」(萩原さん)なのも事実です。現に、警察庁が運営するセキュリティ情報サイト「@Police」がたびたび注意喚起している通り、ルーターなどに何らかの脆弱性が発覚すると、すぐにその悪用を狙ったアクセスの増加が観測される状態です。
先日正式版をリリースしたKarmaには2500万件以上の機器情報が登録されており、独自のシグネチャを用いて、メーカー名だけでなくモデル名やファームウェアのバージョンまで把握できるそうですが、これで確認してみると「いまだにこんなに古い、前の前の前の世代の機器が使われているんだと、メーカーが驚くようなモデルが使われていたりします」と萩原さんはいいます。
「テレワークによって自宅の設備がビジネスの根幹を担うようになったのに、その基盤を担うのが10年前のルーターというのは考え物です」(萩原さん)
ただ、メーカーの立場からすると、リリースした機器全てを永遠にサポートし続けるのは不可能です。以前は10年選手の機器が動き続けるのは当たり前だったかもしれませんが、これからの時代はきちんとサポート期間を区切り、その中で脆弱性対応という責任を果たし続けるスタイルに移行すべきではないでしょうか。もちろん利用者もそれを理解して、適切な期間内に買い換えることが求められるでしょう。
そのため萩原さんは今後、Karmaから得られた結果とメーカーのサポート期間を照らし合わせ、サポート切れの製品を告知する機能などもKarmaに追加していければと考えているそうです。Karmaで分析したデータをメーカーやベンダーに提供し、ファームウェアのバージョンアップなどにつなげてもらう活動や、エンドユーザー向けの啓蒙(けいもう)活動にも注力する予定です。
「古いルーターを使い続けることには危険が伴うことを伝えるため、これからは情報発信に注力します。特に、サポートが打ち切られた機器の問題については、積極的に注意喚起していきたいと考えています」と萩原さんは話しています。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR