特集

警視庁「家庭用ルーターの不正利用に関する注意喚起」にどう対応したらいい? デジタルライフ推進協会にポイントを聞いた

家庭内のルーターを安全に使うコツを見ていこう。写真はデジタルライフ推進協会(DLPA)に加盟しているバッファローのWi-Fi 6ルーターWSR-5400AX6S。DLPA推奨ルーターだ

 警視庁より3月28日に「家庭用ルーターの不正利用に関する注意喚起」が発表され、同日、デジタルライフ推進協会(DLPA)から賛同する情報発信が行われた。本稿ではこれを受け、家庭用Wi-Fiルーターを安全に使用するための具体的なセキュリティ対策を、DLPAに取材した結果をもとに紹介する(なお、警察庁も同日付けで警視庁と同じ内容の注意喚起を行っている)。


[記事追記:4月7日 10:30]
編集部で警視庁に対し、今回の注意喚起のきっかけとなる事件等があったのか、などについて問い合わせたところ、2020年以降に発生した複数の企業に対するサイバー攻撃事案を捜査する段階で判明したものであるとの回答を得た。特定の事件や特定の機種への攻撃だけを想定したものではないようだ。


 警視庁の注意喚起の内容は、「初期設定の単純なIDやパスワードは変更する」「常に最新のファームウェアを使用する」「サポートが終了したルーターは買い替えを検討する」の3点を従来の対策とし、加えて、「見覚えのない設定変更がなされていないか定期的に確認する」ことを求めるものだ。

 そして、DLPAでは「自動ファームウェア更新機能」と「管理画面へログインするためのIDまたはパスワードの固有化」の2つが有効な機能であるとして、これらの機能を搭載した製品「DLPA推奨Wi-Fiルーター」の使用・買い替えをすすめている。

 両者の述べている内容がどのように関係するのかは、少々分かりにくいところがある。それぞれの情報を整理していきたいが、その前に、DLPAという組織について紹介しよう。

 DLPAは、デジタル機器を活用したデジタルライフに関する啓発活動や、それにともなうガイドラインの提案などを行っている組織で、アイ・オー・データ機器、NECプラットフォームズ、エレコム、バッファローといった国内のWi-Fiルーターを販売する主要メーカー4社が加盟している。今回、取材にご対応いただいたのは、DLPAの平林朗氏(技術ワーキンググループ サイバーセキュリティタスクグループ グループ長)と、納富志津氏(普及ワーキンググループ グループ長)だ。

DLPA 技術ワーキンググループ サイバーセキュリティタスクグループ グループ長 平林朗氏
DLPA 普及ワーキンググループ グループ長 納富志津氏

脆弱性を突いた侵入と管理画面からの侵入の両方に対処

 警視庁の注意喚起は、要するに「家庭用ルーター(一般にはWi-Fiルーター)の設定がユーザーの知らないうちに変更されてしまう」ことを警告したものだ。なお、従来の対策としている項目については一旦保留する。

 DLPAでは、攻撃者が家庭用ルーターの設定を変更する手口として、不正なプログラムなどを使用してWi-Fiルーターのセキュリティの弱点(脆弱性)を突いて侵入するものと、外部からWi-Fiルーターの管理画面にアクセスし、IDとパスワードを入力してログインするものの2通りがあると想定している。

 前者に対処する方法は、ファームウェアを更新し、脆弱性をなくすことだ。Wi-Fiルーターのメーカーは確認された脆弱性に対処するファームウェアの更新プログラムを随時提供している。ユーザーが気づかず、せっかくの更新プログラムが適用されないのでは困るが、更新プログラムが提供されたら自動的に更新されるようになっていれば問題ない。

ファームウェアの自動更新機能は必ずオンにして使用しよう。このルーターも自動で更新がかかって最新になっている

 後者の「管理画面からの侵入」に対処するのが、管理画面へログインするためのIDやパスワードの固有化だ。古いWi-Fiルーターは、初期のパスワードが製品の全個体共通で簡単なものになっていて、そのまま使用を続けられる製品もあったが、これだと攻撃者も簡単にログインできてしまう。固有で推測されにくいパスワードになっていれば、侵入を防止できる。

 DLPA推奨Wi-Fiルーターは、出荷時から個体ごとに異なるIDまたはパスワードが設定されている。そのため、そのまま使用していても簡単にログインできてしまうことはない。

 以上2つの機能を備えたDLPA推奨Wi-Fiルーターならば、(もちろんセキュリティに「完璧」ということはないが)想定される攻撃に対処できる、というわけだ。

 DLPAに加盟していないメーカーの製品を使っている場合でも、ファームウェアの自動更新とID・パスワードの固有化ができていれば、同様に対策がされた状態だと考えていいだろう。

Wi-Fiルーターでは、ブラウザーで設定画面を表示させて各種設定を書き換える。不正ログインを試みる攻撃者が侵入されないようにすることが重要

今回注意喚起された項目はルーターの外部との接続機能

 ここからは、もう少し掘り下げて見ていこう。

 注意喚起の中で警視庁が「見覚えのない設定変更」として挙げている内容は、いずれも自宅と外部(インターネット)との接続に関するものだ。具体的には、VPN機能設定および見慣れないVPNアカウントの追加、DDNS(ダイナミックDNS)機能設定、インターネット(外部)からルーターの管理画面への接続設定の4点となっている。

 自宅のWi-Fiルーターのルーター機能をオフにして、アクセスポイントとしてのみ使っている場合、これらの機能は無効になるため、その機器は無関係だと考えられる。一方で、インターネットサービスプロバイダー(ISP)から提供されたホームゲートウェイ(HGW)などの機器を自宅のルーターとして使用している場合は、そちらが攻撃の対象となり得る。

 「Wi-Fiルーター」を使っていても、その中の「ルーター機能」を使っていない場合がある。使っているかどうかは意外と分かりにくいのだが、ISPのサポート情報も参照し、HGWなどの機器に対しても、自動ファームウェア更新とIDおよびパスワードの固有化について確認しておこう。

 現時点で攻撃を受けていないか確認するには、警視庁の言うとおり、対象の項目に「見覚えのない設定変更」がないか確認しておくべきだ。VPNとDDNSに関する項目は、設定画面を見ればどれが該当の項目か分かりやすい。しかし、インターネット(外部)からルーターの管理画面への接続設定に関しては、具体的な項目名が製品により異なり、分かりにくいだろう。

 これらのいずれの機能も、全ての製品に搭載されているわけではない。しかし、外出先からも設定できるようにするため、外部から詳しい人が設定可能にするためなどの理由で、インターネットからルーターの管理画面に接続できる機能を持つWi-Fiルーターはわりと多い。マニュアルを確認し、該当の機能が必要なければオフにしておこう。

バッファローのWi-Fiルーターでは、「Internet側リモートアクセス設定」が、インターネット(外部)からルーターの管理画面への接続設定に該当する。必要がなければオフにしておく

「永続的に不正利用可能な状態」になりうるVPNの設定には特に注意を!

 VPNとDDNSについて、もう少し詳しく見ていこう。Wi-FiルーターのVPN機能は、VPNサーバーとして外部からのアクセスを可能にする機能だ。外出先から自宅のネットワークにアクセスしたいときに、安全性を確保しながら接続できるようになる。

 家庭用でVPN機能を持つ製品は少ないが、海外メーカーのものを中心に搭載する製品もある。もしもこの機能が知らない間に設定されていたり、知らないアカウントが追加されていたりすると、攻撃者が自宅のネットワークへ自在にアクセスできることになる。その場合、自宅のPCやスマートフォンのデータが盗まれたり、システムが破壊されたり、さらには外部のサーバーを攻撃する「踏み台」にされたりするおそれがある。

 そして、VPNの設定やアカウントの追加は、ファームウェアの更新を行うなどしても設定は変更されない(設定が悪意によるものかどうかを、Wi-Fiルーター自身は判断できない)。警視庁は注意喚起の中で「一度設定を変更されると従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態」と言っているが、まさにこの状態になってしまう。

 このように、VPN機能に関する攻撃が、今回の注意喚起の最大のポイントだろう。VPNが必要がなければ、必ず機能をオフにしておこう。もしもVPNが必要で有効にしている場合は、リスクを覚悟して注意し、使用しない期間はできるだけオフにするようにしてほしい。

 DDNS機能は、数字によるIPアドレスだけでなく、指定したURLを入力することで外部からアクセスできるようにする機能だ。仮にこの設定が変更されていても、攻撃者がアクセスしやすくなるというだけで、この機能自体で何かができるわけではないため、重要度はやや低い。

フレッツ光回線でレンタルされるホームゲートウェイでは、PPPoE接続をすると外部からVPN接続ができる機能がある。使わない場合には必ずオフであることを確認しておこう

設定のバックアップと定期的な復元もオススメの対策

 Wi-Fiルーターの設定に不慣れで、「設定画面を見ても変更がされているのかどうかなんて分からない!」という人もいるだろう。そのような人におすすめなのが、たいていのWi-Fiルーターが持っている設定情報のバックアップ機能で初期設定が済んだ状態をバックアップしておき、定期的に戻す方法だ。

 Wi-Fiルーターを工場出荷状態に戻せば、もしも攻撃者に設定を書き換えられていても、それをリセットできる。対策として有効ではあるが、初期設定をやり直す必要があるため、面倒だ。そこで、初期設定が済んでインターネットに正常に接続でき、VPNなど外部からのアクセスに関する設定を全てオフにした状態の設定を、いったんバックアップしておく。

 そして、定期的なメンテナンスとして、バックアップしていた設定に戻すのだ。これで、見覚えのない設定があっても定期的にクリアできるので、結果的に警視庁の注意喚起にあわせたかたちにできる。復元した後で設定画面にログインするためのパスワードを変更しておけば、さらに安心できるだろう。

Wi-Fiルーターの設定をファイルとして保存できる。正常な状態のときの設定を保存しておけば、いつでも簡単に復元可能だ

新しい攻撃に対応できる製品への買い替えも検討を

 Wi-Fiルーターは駆動部など急速に劣化する部品を持たず、10年以上稼働する場合もある。しかし、インターネットにおけるサイバー攻撃の手口は進化し続けており、対策としてのセキュリティ機能も更新され続けている。古いWi-Fiルーターは、ルーターとしての機能は正常に動き続けていても、最新のサイバー攻撃に対抗するのは難しいのが現実だ。ファームウェアの更新で対策するにも限界がある。

 DLPAでは2019年12月から「DLPA推奨Wi-Fiルーター」への買い替えを促す提言を行っているが、問題なく稼働している製品を買い替えることは、感覚的に理解を得にくいという。しかし、2019年12月といえばすでに3年以上前。当時の最新モデルも、現在ではかなり安く販売されていると考えれば、買い替えを検討してもいいと思えるのではないだろうか。

 警視庁では、今回の注意喚起と同時に同庁のウェブサイト内の「Wi-Fi(無線LAN)ルーターをお使いの方へ」を更新しているが、ここでは、通信内容の盗聴を防ぐ暗号化方式として、最新の「WPA3」という方式の使用を推奨している。WPA3は「Wi-Fi 6」という規格から標準で使われるようになった方式だが、国内でWi-Fi 6対応のWi-Fiルーターがそろいだしたのも、2019年の後半ごろから。つまり、Wi-Fi 6対応のDLPA推奨Wi-Fiルーターを買って、説明どおりに設定して使用すれば、セキュリティ面では安心できると言っていいだろう。

 ここで、警視庁が従来の対策として挙げた3項目をあらためて見てみる。「初期設定の単純なIDやパスワードは変更する」「常に最新のファームウェアを使用する」の2つについては、前述のとおりでDLPA推奨Wi-Fiルーターの条件でもある。

 「サポートが終了したルーターは買い替えを検討する」に関しては、現状、サポート期間を明確に設定していないメーカーもあり、サポートが終了したか否かをはっきりと判断できない場合がある。しかし、現在推奨される仕様を満たす製品かどうかと考えると、使用中の製品がDLPA推奨Wi-Fiルーターであるか、Wi-Fi 6に対応しているかを確認し、そうでなければ仕様的に古くなっていると判断して、買い替えを検討するのがちょうどいい。

 DLPAの納富氏は「これまでに出荷されたDLPA推奨Wi-Fiルーターが、ハッキング被害にあったことは報告されていません。安心して選んでいただければと思います」と、安全性をアピールする。「セキュリティが確保できるだけでなく、速度アップによって使い勝手も向上しますので、古いWi-Fiルーターは適宜買い換えていただければ(納富氏)」とも推奨してくれた。

 Wi-Fiルーター自体は問題なく稼働し続けていても、周囲をとりまくサイバー攻撃の脅威の方が進化を続けており、相対的にセキュリティが低下していると言える。高価な製品を買う必要はないので、長くても5年程度、適当な周期で定期的に新品に買い替えることも、Wi-Fiルーターを安全に使う上では必要だ。