ニュース
気付かぬ間に家庭のWi-Fiルーターを狙う「ボットネット」の対策を広めたい! 総務省がセキュリティ冊子を更新
2024年4月3日 06:00
総務省は2024年3月に、ウェブサイトで公開している「無線LAN(Wi-Fi)のセキュリティに関するガイドライン」を更新した。従来は「利用者向け」と「公衆Wi-Fi提供者向け」の2つの冊子(PDF)だったが、今回は、利用者向けが「自宅Wi-Fi」「公衆Wi-Fi」に分冊されたのが、大きな変更点となっている。
やわらかいデザインで、一見すると「初心者向け」との印象を持つが、読んでみると、実はけっこう高度な内容も書かれている。Wi-Fiの技術や注意すべき脅威、その対策方法が時と共に変化していく中で、こうしたガイドラインの役割もまた、少しずつ変わりつつあるようだ。
今回は、ガイドラインの位置付けや更新の狙いについて、総務省の酒井雅之参事官(サイバーセキュリティ統括官室)に、話を伺った。
「詳しく知りたい人が、導入となるキーワードを把握できる内容」
これらのガイドラインは、単純な「初心者向け」――専門的な知識を持たない人たちに、まずこれを読んでほしい、という内容――ではないようだ。酒井参事官いわく「セキュリティについて詳しく知りたい人が、導入となるキーワードを把握できるくらいの内容」を意図しているという。
Wi-Fiのセキュリティに関して、初心者向けの情報を集めていた人が、体系化された知識を得たいと思ったときに開いてみるのに、ちょうどいいかもしれない。自宅Wi-Fiの利用者向けの冊子(簡易マニュアル)に掲載されているキーワードには、「SSID」「WPA3」「IEEE 802.11ax」「VPN」「DDNS」など、専門メディアであるINTERNET Watchではよく登場するが、一般向けにはあまり使われなかったり、分かりやすく置き換えられることの多い(例えば「SSID→アクセスポイント名」など)言葉が多く登場する。
公衆Wi-Fiが登場したばかりの頃、使い方が分からない人が多かったり、トラブルが起きたりしたことから、安全な利用を啓発するために制作されたのが、これらのガイドラインの始まりだったという。しかし、近年では、昔よりも公衆Wi-Fiの安全性が高まり、提供する事業者側の安全への意識や知識も高まったことから「公衆Wi-Fiに関しては注意いただく必要のあることが、相対的には減っています」(酒井参事官)という。
これはもちろん、何も考えずに公衆Wi-Fiを利用/提供してよくなった、という話ではない。知っておきたい注意点などは冊子にまとめられているので、よく公衆Wi-Fiを利用する人や、提供する人、これから提供したいと考えている人は、冊子に目を通してほしい。
今回のガイドライン更新の最も重要なポイントは、「相対的に」注意するべきことが増えている、家庭用のWi-Fiに対して、情報を提供することにある。そのために、家庭用が分冊化された。
家庭用Wi-Fiルーターの「ボットネット」対策が最重要課題
家庭用のWi-Fiルーターが悪意のあるユーザーによって乗っ取られ(遠隔操作され)、サイバー攻撃に利用される「ボットネット」の問題に、同省では現在最も注目しているという(なお冊子中に「ボットネット」の言葉は登場しない)。
家庭のWi-Fiルーターが悪意のあるユーザーに乗っ取られ、操られる状態になったことを「ボット」と呼び(Wi-Fiルーターに限らず、PCやスマートフォン、その他のIoT機器もボットになり得る)、それが集まってネットワークになっているのが、ボットネットだ。そのような「ボット」状態になったWi-Fiルーターなどの機器は「世界で何十万台という単位になっており、日本国内でも観測されています」と、酒井参事官は訴える。
ボットネットの問題の難しい点の1つに、「Wi-Fiルーターが乗っ取られていても、利用者の家庭では普通に使える」ことがある。そのため、乗っ取りに気づくことが難しく、知識のない人に、リアリティを持ってこの脅威を認識してもらうことも難しい。
また、説明の難しさもある。例えば「私の家族にも説明を試みたことがありますが、まず『Wi-Fiアクセスポイントに接続するためのパスワード』と『Wi-Fiルーターの管理画面のパスワード』(管理画面に侵入するのが、一般的な手口)の違いが、なかなか伝わりませんでした」と、酒井参事官は苦笑交じりに語る。
自宅Wi-Fi利用者向けの冊子では、気を付けるポイントとして、次の3つを挙げている。
- セキュリティ方式は「WPA2またはWPA3」を使おう
- パスワードは第三者に推測されにくいものにしよう
- ファームウェアを最新の状態にしよう
INTERNET Watchでは、2023年11月に「Wi-Fiルーター見直しの日」として、家庭で「置きっぱなし」のまま何年も使い続けているWi-Fiルーターを見直し、設定のチェックや買い替えの検討を提案した。
ボットネットのための乗っ取りの被害を受けやすいのは、セキュリティのための機能や設定が(現在の水準からすれば)十分でない古いWi-Fiルーターであり、「インターネットは問題なく使えているから」と家庭で置きっぱなし状態のWi-Fiルーターが、知らない間に乗っ取られている可能性がある、ということから「Wi-Fiルーター見直し」の日の提案を行ったが、見据える問題点は、同じくボットネットである。
「Wi-Fiルーターをそのままの設定で利用」の何が危険!?
自宅Wi-Fi利用者向けの冊子では、「脅威シナリオの例」として、「インターネットのオークションサイトでWi-Fiルーターを購入し、そのままの設定で自宅で使用したところ、数日後、そのWi-Fiルーターからとある企業への攻撃が行われたとの連絡が警察からあった」というストーリーが紹介されている。
「インターネットのオークションサイトで購入したWi-Fiルーター」が、古い製品であったり、問題のある設定が行われた製品だったりする可能性があることが問題となる。設定(セキュリティ方式含め)の見直し、管理画面のパスワードの変更、ファームウェアの更新といった対策を行うことで、危険を減らすことができる。
ちなみに、ボットネットの問題で警察から実際に一般家庭に連絡が行われたり、捜査員が訪問したりすることがあることは、「Wi-Fiルーター見直しの日」の際の警視庁インタビューでも紹介している。
ボットネットへの対策は、利用者のリテラシーに頼るだけでなく、多方面から行われている。例えば、デジタルライフ推進協会(DLPA)の「DLPA推奨ルーター」、または2020年4月以降のセキュリティ基準による技術基準適合認定を得ている製品であれば、悪意のあるユーザーからの攻撃を防ぐ措置(詳細は各リンク先を参照)がとられており、購入してそのままの設定で使用しても、簡単に乗っ取られてしまう可能性は低い。
酒井参事官も、適切な新しい製品に買い替えることで、対策が行えることを認める。そのうえで、安全利用について知識を深めるために、冊子を利用してほしいという。
「00000JAPAN」が認証も暗号化もなしで提供される理由
公衆Wi-Fiの利用者向け冊子でも、さまざまな内容の見直しが行われている。Wi-Fi CERTIFIED Enhanced Openのような新しいセキュリティ方式について説明されている一方で、以前にあった「VPNを使おう」という説明は、今回削除された。
このような内容の見直しについては多くの議論があった。が、VPNに関しては、盗聴の危険性が減少する一方で、悪意のあるVPNアプリも登場していることから、無条件にVPNの利用を呼び掛けるのは適当でないと判断されたそうだ。
そのほかで、言葉選びに苦慮した内容には、災害時に提供される「00000JAPAN」(ファイブゼロ・ジャパン)に関する説明があったという。00000JAPANは災害時に「誰もがネットに接続できる」ことを優先して提供され、パスワードの入力も必要なく接続できる。一方で、誰もが、どのような端末でも接続できるようにするため認証も暗号化も行われていないので、セキュリティ面で万全だとは言えない。
むやみに個人情報を送信したりすることは避けるべきだが、災害時にWi-Fiが果たすべき役割は、まずネットに接続でき、安否確認などが支障なく行えることだ。冊子では、00000JAPANの趣旨や特徴を説明しつつ、「災害時に限られた通信手段を譲り合って利用する観点からも、必要最小限の利用にとどめるようにしましょう」といった注記がされている。
Wi-Fiルーターの性能が上がると、より大規模な攻撃ができてしまう
総務省が公開しているガイドラインの冊子は、全てのWi-Fi初心者が読むべき、といった想定の内容ではない。こちらの記事でも言及があるが、今やWi-Fiルーターは「ネットワーク機器」というよりは「家電」のような位置付けとなっており、説明書を読まずに使う人も多い。そして、メーカーなどの努力により、新しい製品では特に、マニュアルを読まずに使っても大きな問題が起こらないよう対策されている。
とはいえ、Wi-Fiルーターはやはり「ネットワーク機器」であり、できれば家庭でインターネット接続サービスの契約やWi-Fiルーターの管理をする人は、ある程度の知識があった方がいい。そのような人たちが、自分の知識を確認する、または勉強の取っ掛かりとするために、この冊子が役立つだろう。
「Wi-Fiルーター(および通信回線)の性能が向上し、より広帯域(高速・大容量)の通信ができるようになると、より大規模な攻撃を収容できてしまいます」とも、酒井参事官は言った。スピードの出る自動車を安全に運転するためには、相応の知識や技術が必要だ。インターネットは免許制ではないが、高性能の通信環境を利用するにあたって、安全のための知識も身に付けることを、意識してほしい。