警視庁に、家庭用ルーター不正利用の現状を聞く〜「“攻撃元”の家庭へ捜査員が話を聞きに行った事例も」

　サイバー攻撃は身のまわりで日々起こっており、ある日突然、全く身に覚えがないのに自分が当事者になってしまう可能性もある。警視庁では、攻撃元を一般家庭にあるルーターと特定して、捜査員が話を聞きに行った例もあるという――家庭用ルーターを狙うサイバー攻撃の現状やその対策について、警視庁サイバー攻撃対策センターに話を聞いた。

　2023年3月末、警視庁・警察庁は「家庭用ルーターの不正利用に関する注意喚起」を発表した（以降、本稿ではこれを「3月の注意喚起」と呼ぶ）。警察が一般家庭のネット機器について注意喚起を行うことは異例で、驚いた人も多かったことと思う。

　INTERNET Watchでは、同時に発表を行ったメーカー団体であるデジタルライフ推進協会（DLPA）に聞いた内容をもとに不正利用対策を紹介しているが、今回は、警視庁に聞いた、注意喚起の背景となったサイバー攻撃の実態や、求める対策について詳細を紹介したい。

インターネットを介して家庭のルーターに侵入され、悪用される

　3月の注意喚起について、簡単に振り返っておこう。「家庭で使っているWi-Fiルーター（家庭用ルーター）が、インターネット回線側から侵入し悪用され、第三者である企業へのサイバー攻撃に用いられる事例があったので、設定を定期的に確認するなどしてほしい」といった趣旨で、発信元は警視庁サイバー攻撃対策センターとなっている。

　なお、INTERNET Watchでは、家庭に置かれているルーターは多くがWi-Fiルーターであることから関連記事では「Wi-Fiルーター」と記載しているが、警視庁の注意喚起ではWi-Fi機能を持たないものも含む「家庭用ルーター」としている。

　Wi-Fiルーターへの侵入経路は、大きく分けてWi-Fiから（この場合、Wi-Fiの電波が届く範囲で侵入行為をする必要がある。つまり、侵入者が近くにいることになる）と、インターネットから（この場合は侵入者が世界のどこにいても可能）が考えられる。3月の注意喚起では、侵入経路は後者としていて、Wi-Fi機能の有無にかかわらず攻撃対象となりうるというわけだ。

　本稿では、インターネットからの攻撃であることを分かりやすくする意味も込めて、以降「Wi-Fiルーター」も含むこれらを「家庭用ルーター」または「ルーター」と表記することにする。

侵入して設定を書き換え「悪意のある他人がいつのまにか自宅にいる」状態に

　今回、話を伺ったのは、警視庁サイバー攻撃対策センター所長の今木港（いまき みなと）警視。同センターは2017年に発足。警視庁公安部に属し、サイバーテロやサイバーインテリジェンスと呼ばれる、情報を狙ったスパイ活動などの事案に対応する組織だ。サイバー攻撃に関する情報収集のほか、セキュリティに携わる組織やITインフラ事業者などとの連携も行っており、サイバー攻撃者を特定したり、事案によっては検挙したりもする。

　3月の注意喚起の背景となったサイバー攻撃は、具体的な企業名などは明かせないが、2020年以降に発生した複数の企業に対するサイバー攻撃事案を捜査する段階で把握したものだという。先端技術を保有する複数の企業に対して、情報窃取をする不正アクセスの手段として、家庭用ルーターが使われていることが確認されているとのことだ。

　近い手法のサイバー攻撃に対する注意喚起として、9月27日には、警察庁および内閣サイバーセキュリティセンター（NISC）が、米国の国家安全保障局（NSA）、米連邦捜査局（FBI）および米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに、中国を背景とするサイバー攻撃グループ「BlackTech」（ブラックテック）によるサイバー攻撃に対する注意喚起を行っている。警視庁では、３月の注意喚起の背景となったサイバー攻撃が、BlackTechによる犯行であると強く評価しているという。

　このBlackTechに対する注意喚起では、攻撃手法もある程度具体的に説明されている。主に企業をターゲットにしたものと見られるが「インターネットに接続されたネットワーク機器に対し、ソフトウェアの脆弱性を狙うほか、ネットワーク設定の不十分さ、サポートの切れた機器・ソフトウェアなど、標的ネットワークのさまざまな点をサイバー攻撃する」ことにより、初期侵入を行うとしている。また、（企業でよく使われる）シスコ製のルーターのファームウェアを改変されたファームウェアに取り替えてしまうことも確認されているという。

　3月の注意喚起の背景となった攻撃事例でも、同様に、家庭にあるルーターのソフトウェアの脆弱性、ネットワーク設定の不十分さ、サポートの切れた機器・ソフトウェアなどを突いて侵入し、設定が書き換えられたものと考えられる。そして、書き換えられたのは、VPN（Virtual Private Network）とDDNS（Dynamic DNS）の設定だそうだ。

　VPNは、PCなどのクライアントとサーバーの間の通信を暗号化し、仮想的な閉じたネットワークを作って、通信内容を保護する機能だ。VPN機能は全てのルーターが搭載しているわけではないが、この機能を搭載しているルーターはVPNサーバーとなり、インターネット経由でアクセスしたユーザーを、家庭内のネットワークに接続させる（昨今では、テレワークで自宅から会社のサーバーへ接続する際にVPN使っている人もいるかもしれない。この場合は、自宅から企業のVPNサーバーに接続するかたちとなり、自宅のルーターにVPN機能が搭載されているかどうかは関係ない）。

　この話の流れでいう「インターネット経由でアクセスしたユーザー」とは、つまり侵入者のこと。要するに、侵入したサイバー攻撃者が勝手に自宅のルーターにユーザーアカウントを作成して、VPNでアクセスし、継続的に操作、つまり悪用できてしまうよう設定を書き換えているわけだ。

　DDNSは、通常だとルーターによりアクセスするためのIPアドレスが変動するのを、特定のURLと紐づけて、恒久的に同じURLでアクセスできるようにする機能。こちらは要するに、同じ家庭のルーターを悪用しやすくするわけで、DDNSは攻撃のために必須ではないが、よりラクに悪用できるようにする機能だと言える。

　「いわば、家庭内にいつのまにか悪意を持った他人がいるようなものです」と、今木警視は言う。ルーターの中で何が行われているのかを目で見ることはできないが、サイバー攻撃者の侵入を許すということは、悪意を持った他人がいつのまにか家に上がり込んでいるようなもので、恐ろしいことだ……という認識で、家庭のルーターの設定を見直してほしいとしている。

「踏み台」となった家庭のルーターが攻撃を開始してしまう

　3月の注意喚起の背景となった攻撃事例について、さらに説明しよう。侵入され、VPNやDDNSの設定を書き換えられてしまったルーターを使って、侵入者が企業などへの攻撃を開始する。

　その結果、攻撃を受けた企業では「家庭のルーターから攻撃を受けている」状態になる。また、このとき、攻撃をしながらも、家庭のスマホやPCをインターネットに接続する本来のルーターとしての機能は問題なく働いているので、家族が問題に気づくことは難しい。

　「サイバー攻撃」というと、ものものしい印象だが、実際に行われるのは、企業のサーバーなどインターネットにつながった特定の対象に向け、特定の信号を送信する行為だ。一般にルーターは「インターネットに接続するため（だけ）の機器」と認識されていると思うが、中にはCPUやメモリを搭載しており、設定などを改変し、一定の指示を送ることで、ちょっとしたPCのような動きもできる。

　サイバー攻撃者が直接ターゲットである企業を攻撃せず、一般家庭のルーターを使って攻撃することには、攻撃元を見つけにくくする効果がある。また、国内のルーターを踏み台として使う理由には、国外からのアクセスを遮断していたりする企業のサーバーに対してもアクセスしやすいため、という点もあると考えられる。直接攻撃する装置として悪用されたルーターのような存在は「踏み台」と呼ばれる。

家庭用ルーターが踏み台にされ、企業などに攻撃が行われる。結果的に、一般家庭からサイバー攻撃が行われているかたちになってしまう（図は筆者作成。いらすとや提供の素材使用）。とはいえ警察が、家庭のユーザーが攻撃を行っていると考えているわけではない。詳しくはこの後を参照

捜査の過程で、一般家庭に話を聞きに行ったことも

　自宅のルーターを踏み台にされてしまった家庭もサイバー攻撃の被害者だが、自宅のルーターから攻撃が行われたという点では「サイバー攻撃の片棒を担がされてしまった状態」と見ることもできる。こうしたサイバー攻撃の捜査の過程で、よくある刑事ドラマのように、捜査員が一般家庭を訪れるようなこともあるのかと質問すると、実際にそうしたケースもあったと、今木警視は答えた。

　「具体的な捜査方法は言えませんが、攻撃の発信元を特定し、一般のご家庭にお話を聞きに伺ったことがあります。もちろん、全く身に覚えがなく、踏み台にされたのであれば、何らかの罪に問われるわけではありません」とのこと。しかし、捜査のために対象のルーターを預かる（押収する）こともあるという。

　罪に問われることはないとはいえ、急に自宅に警察がやってくることは愉快なことではないし、時間も手間もかかる。そうならないためにも、不正利用されないよう設定の確認をしてほしいと、今木警視は訴えた。

「身に覚えなく踏み台にされることが罪に問われるわけではありませんが、決して愉快なことではありません」

国家を背景としたサイバー攻撃が主流になっている

　一時期のドラマや映画でよく取り上げられた「サイバー攻撃」では、少人数の集団が愉快犯的な目的でサイバー攻撃を仕掛け、人々を翻弄する、といった、ドラマ的に盛り上がりやすい設定のものが多かったかもしれない。しかし、現実に起きているサイバー攻撃は、国家を背景とした大規模な集団によるものが多くなっている。目的も、情報や金銭の窃取など、はっきりとした「実利」を狙っている。

　先述した、中国を背景としたBlackTechもその一例だ。そのほか、2022年10月には、北朝鮮当局の下部組織とされるサイバー攻撃グループ「Lazars」（ラザルス）が暗号資産関連事業者などを標的とした攻撃を行っていることについての注意喚起を、金融庁・警察庁・内閣サイバーセキュリティセンターが行っている。

　このような情報公開は「パブリック・アトリビューション」と呼ばれる。攻撃者の摘発には至らないが、注意を促すとともに、背後の国家などを名指しで非難する目的で公表されるもので、近年件数が増えている。

　パブリック・アトリビューションにおいて名前が挙がるような攻撃集団は、「APT」（Advanced Persistent Threat：高度で持続的な脅威）とも呼ばれる。その攻撃について、今木警視は「国家を背景とするものを含むAPTが明確な目的を持って、高度な攻撃をしかけてきているのが実態です。これに対する捜査や実態解明に特に力を入れています」と語った。

「まずは、見覚えのない設定がないか確認を」

　取材中には、7月にあった名古屋港のランサムウェア攻撃にも話が及んだ。警視庁の管轄ではないが、社会を支えるインフラへの攻撃は影響も大きく、特に注視し、警戒しているという。

　家庭でできるルーターの不正利用対策として、INTERNET Watchでは、DLPAの話をもとに、「自動ファームウェア更新機能」と「管理画面へログインするためのIDまたはパスワードの固有化」の2つが有効であると紹介した。未知の脆弱性は防ぎようがないが、この2つにより侵入を防ぐことが可能になり、設定の書き換えも防ぐことができる。

　今木警視は、取材の中で「（それらに加えて、VPNの）設定を見直してほしい」と述べた。3月の注意喚起にもあった内容で、先述の方法により書き換えを防ぐようにしたうえで、攻撃の手口として確認されている設定が行われていないかを直接目視で確認しておくのが確実なのは間違いない。VPN機能はすべてのルーターが搭載しているわけではないが、家にあるルーターがVPN機能を持っているか、機能があるとしたら、どこからその設定を行うのかを調べたうえで、実際に設定を確認するようにしてほしい。

　なお、VPN機能を持たないルーターを導入すれば、それを悪用した攻撃の対象からは外れる。ルーターを悪用する手口はVPNだけとは限らないが、VPN機能があっても使わないならば、その機能を持たない製品に買い替えるのも、対策の一手とは言えるだろう。

　ISPなどからレンタルされているルーターを使っている場合は、ユーザーが勝手に買い替えるわけにもいかないので、セキュリティに関して心配であれば、サポートに確認してみてほしい。ちなみに、筆者が知る範囲では、NTT東西の「フレッツ光」回線契約時にレンタルされる「ホームゲートウェイ」（HGW）と呼ばれるルーター機能を持つ接続機器の一部に、PPPoE接続をしているとVPN機能が提供されるモデルがある。

　NTT東西に確認したところ、VPN機能を搭載した製品ではVPN機能を初期状態で無効化しており、利用のために必要となる事前共有鍵としてランダムな文字列を設定し、IDとパスワードに長い文字列を設定できるなどの不正利用対策が行われているという。また、現在はIPoE接続が主流で、PPPoE接続の利用は少ない（2021年の調査で、フレッツ 光ネクスト網においてはIPoE接続が80％以上との結果が出ている）。自宅でどのようになっているか不明な場合は、接続方式やホームゲートウェイの設定を確認してほしい。

　スマートフォンやPCと違って、ルーターは毎日直接触れるものではない。そして、管理画面にわざわざアクセスしない限り、どのような状態になっているか把握することが難しい。家の中でも目立たない場所に置いていて、ふだんは存在を意識することもない、という人も多いのではないかと思う。

　いつのまにか、そこに悪意を持った何者かが侵入しているかもしれない。侵入の対策や、見覚えのない設定がないかのチェックを、定期的にぜひ行うようにしてほしい。