特集

他人事と思わずにチェックを! Wi-Fiルーターの「ボット感染」対策で今やることのまとめ

バッファロー WSR-1166DHP

 NICTERによって観測されたバッファロー製Wi-Fiルーターのボット感染が話題になっている。本誌の提唱する「Wi-Fiルーター見直しの日」も含め、近年、Wi-Fiルーターの脆弱性に対する意識は高まりつつあるが、家庭や企業など、実際の現場での対策が追いついていない印象だ。本件の概要と、Wi-Fiルーターへのサイバー攻撃や脆弱性が発表された際の一般的な対策をまとめた。

 なお、「ボット感染」とは、サイバー攻撃者により操作可能な状態(これを「ボット」ないし「ボット化」と呼ぶ)にするマルウェアに感染した状態を指す。

 ボットがどのように利用されるかというと、過去の事例では、何千台以上の単位とみられるボットから一斉に特定のサーバーに信号を送り、サーバーのパフォーマンスを低下させるDDoS攻撃がある。また、ほかのサーバーやPCにマルウェアを送り込むなどの攻撃をする際、ボットを操作して間接的に攻撃することで攻撃者を追跡しにくくする、いわゆる「踏み台」として利用されることもある。

NICTERの投稿に関するバッファローの「重要なお知らせ」では、対象製品や対処方法などが記載されている

バッファロー製ルーターのボット感染について整理する

 5月21日にNICTERのXアカウントが行ったポストに端を発する、バッファロー製Wi-Fiルーターのボット感染問題。

 ポストで名前が挙がっている「WSR-1166DHP」シリーズをはじめ、5月23日時点では18製品が対象としてバッファローから発表されている。これらの製品の「Web設定画面のパスワードが工場出荷時設定のまま使用されていること、ないし推測されやすい文字列が設定されている」場合に、感染の可能性があるとされる。

対象製品と詳細
製品名対応規格発売年最新ファームバージョンと更新日
WHR-1166DHP2Wi-Fi 52015 2.95(2021年8月17日)
WHR-1166DHP3Wi-Fi 52016 2.95(2021年8月17日)
WHR-1166DHP4Wi-Fi 52017 2.95(2021年8月17日)
WSR-1166DHP3Wi-Fi 52017 1.18(2021年12月23日)
WSR-600DHPWi-Fi 42014 2.93(2021年7月5日)
WEX-300HPTX/NWi-Fi 42021 1.02(2021年12月13日)
WEX-733DHP2Wi-Fi 52021 1.03(2022年2月16日)
WEX-1166DHP2Wi-Fi 52019 1.05(2022年1月18日)
WEX-1166DHPSWi-Fi 52017 1.05(2022年1月18日)
WEX-300HPS/NWi-Fi 42020 1.02(2021年12月23日)
WEX-733DHPSWi-Fi 52019 1.02(2022年1月31日)
WEX-733DHPTXWi-Fi 52021 1.03(2022年2月16日)
WEX-1166DHPWi-Fi 52016 1.23(2024年4月10日)
WEX-733DHPWi-Fi 52015 1.64(2024年4月10日)
WHR-1166DHPWi-Fi 52014 2.92(2024年5月8日)
WHR-300HP2Wi-Fi 42013 2.51(2018年2月7日)
WHR-600DWi-Fi 42013 2.91(2018年2月13日)
WMR-300Wi-Fi 42013 2.5(2016年11月2日)

※「対応規格」のWi-Fi 5はIEEE 802.11ac、Wi-Fi 4はIEEE 802.11n
※リンクは各製品のファームウェアのダウンロードページへのリンク

 迅速に情報を公開し、注意を呼び掛けるバッファローの対応は好印象だ。しかし、展開が速いうえ、同社ウェブサイトのトップページに掲載される「重要なお知らせ」は最新の1件しか表示されないようで、本稿執筆時点(5月25日)では更新されて情報が見つけにくくなっている。そのため、経緯を簡単にまとめておく。

5月20日:バッファロー製Wi-Fiルーターのボット感染増加を観測
5月21日 :NICTERがXに注意喚起を投稿
5月22日:本誌がニュース記事を掲載
5月22日:バッファローが「NICTERの投稿に関する重要なお知らせ」として状況と対策を公表
5月23日:バッファローが「NICTERの投稿に関する重要なお知らせ(5/23更新)」を公開(←今ココ)

 詳細な感染経路や原因については、バッファローが5月23日に公開した情報でも明らかにされていないが、感染の条件は次の2つであるとされ、両方が満たされる場合に被害が発生する可能性がある。なおNICTERでは、5月24日のXのポストで、バッファローが公開する最新の対策を確認するようにとしている。

  • 前述した対象製品を利用していること
  • Web設定画面のパスワードが推測されやすいものであること

 2014年発売のWHR-1166DHPなど、対象製品の多くは10年前後も前に発売された古い機種だ。Wi-Fi 5(IEEE 802.11ac)対応中継機のWEX-733DHPTX、WEX-733DHP2、WEX-300HPTX/N(特定販売店向け)は2021年の発売だが、基本的な設計はもっと前のものだろうと、古い仕様であるWi-Fi 5対応であることや、型番から推測できる。

 パスワードは、古い製品だと最初は推測されやすい文字列が設定されている。ユーザーが初期設定時に推測されにくいものへ変更して使うことを前提に、分かりやすい文字列に設定されているのだが、実際には変更せずに使い続けるユーザーが多いため、近年発売の製品では最初から推測されにくいパスワードが設定されているか、初期設定に変更を必須とするようになっている(こちらの記事も参照のこと)。

 今年の4月からNOTICEの取り組み(こちらの記事を参照)が強化され、本誌が昨年末から提唱している「Wi-Fiルーター見直しの日」もあり、Wi-Fiルーターの脆弱性対策や安全利用について関心が高まりつつある中、あらためて「古い製品を使い続けること」「簡単な管理パスワードを使うこと」の危険性が浮き彫りになった印象だ。

NOTICEのウェブサイトで紹介されているルーター乗っ取りの危険性

どう対応すればいいのか? 「今」と「将来のため」にやる対策

 今回の問題に限らず、Wi-Fiルーターの脆弱性対策は「今すべき対策」と「将来のためにすべき対策」の2つに分けられる。今すべき対策としては、次に4つを挙げる。

今すぐ 1. Wi-Fiルーターを再起動する

 Wi-Fiルーターの脆弱性や攻撃に関するニュースを目にしたら、該当製品であるかどうかにかかわらず、一度、自宅のWi-Fiルーターを再起動することをおすすめする。

 一度電源を切ることで、万が一、自宅のWi-Fiルーターがボットに感染していた場合は、メモリ上からボットのプログラムを消去できる。

 対象として名前が挙がっている以外の製品、他社製品のユーザーでも、心配な場合は再起動することをおすすめする。似たような設計(内部のプログラム)の製品が狙われることもあり、また、公表されていないだけでひっそりと感染している可能性や、過去の感染が放置されたままになっている可能性もある。

 もちろん、マルウェアに感染したPCや他のIoT機器などの感染源が残っていたり、再度、外部からの攻撃を受けたりした場合は、再びWi-Fiルーターがボット感染する可能性はあるが、とりあえず「傷口を洗って消毒しておく」くらいの効果はあるだろう。

 なお、Wi-Fiルーターの設定情報は、内部の電源を切っても消失しないメモリに記録されているため、再起動しても接続先の情報などは失われない。再起動中にインターネット接続が失われるだけとなる。ファームウェアの更新中など(自動更新対応の製品は要注意)に電源を切らないように気を付ければ、数分でインターネット接続が回復する。

背面に電源ボタンがある場合は電源のオン/オフを実施。ボタンがない機種は電源ケーブルを抜き差しする

今すぐ 2. 初期化と再設定と行う

 バッファローも今回の件で推奨している方法の1つだ。設定を初期化し、工場出荷時の状態に戻すことで、サイバー攻撃者によって知らない間に設定を変更されていた場合、それを削除できる。設定後に再起動することで、メモリ上のマルウェアも削除される。

 ただし、何の準備もせずに初期化すると、再設定でインターネット接続ができなくなる可能性もあるため、以下の情報を準備してから初期化することをおすすめする。

 ・インターネット接続用のアカウント情報(IPoE接続の場合は不要。ISPから送られているはず)
 ・PCやスマートフォンのWi-Fi接続用のSSIDとパスワード(現在の設定をメモしておく)

バッファローが公開している電源オン/オフ方法や初期化方法の動画

今すぐ 3. 設定画面のパスワードを変更する

 必ず再起動を実施後、できれば設定用のPC1台のみを接続した状態にしてから設定画面にアクセスして、設定画面のパスワードを変更しておく。

 Wi-Fiルーターのパスワードは、Wi-Fi接続時に入力する暗号化のためのパスワードと、設定画面にアクセスするためのパスワードの2種類があるが、変更が必要なのは後者だ。Wi-Fi接続用のパスワードは、変更する必要はない。

 なお、今回、対象製品として挙げられている18製品は、全て工場出荷時の初期パスワードが推測されやすい簡単な文字列になっている。今回の問題はこのパスワードが悪用された可能性が高いと思われるため、対象製品以外でも同様に簡単な初期パスワードが設定されている製品の場合は、パスワードを変更しておくことを強くおすすめする。

バッファローの「Wi-Fiルーターの管理パスワードを変更する方法」では、パスワード変更方法。動画や画面付きで紹介されている

今すぐ 4. インターネット側からの設定を禁止する

 現在のWi-Fiルーターではあまり見かけない機能だが、古いWi-Fiルーターの中には、外部からの管理を有効化できる製品が存在する。

 今回の被害も、この設定を悪用された可能性が高い。Web設定画面の[詳細設定]-[管理]-[システム設定]にて、「Internet側リモートアクセス設定を許可する」が無効になっていることを確認しておこう。

 工場出荷時に無効になっている(チェックがついていない)が、間違った設定などによって有効になっている可能性もある。必ず無効にしておこう。

設定画面で「Internet側リモートアクセス設定を許可する」が無効になっていることを確認

 将来のためにすべき対策は、次の2つだ。

将来のため 1. ファームウェアを更新する

 今回の問題は、まだ詳細な原因や感染経路などが公表されていないため、特定の脆弱性が原因となっているかがはっきりとはわからない。このため、ファームウェアの更新が直接的な解決につながるとは限らないが、既知の脆弱性からWi-Fiルーターを保護する意味で、ファームウェアの更新は重要となる。

 本誌の読者であればファームウェアの更新ぐらいは簡単な作業かもしれないが、Wi-Fiルーターの設定やPCの操作に慣れていないユーザーにとっては、難しいと感じられるかもしれない(特に、古い製品ではやり方が複雑な場合がある)。このため、やり方がわからない場合は、知人やメーカーのサポートに相談してアップデートすることをおすすめする。

バッファローの「Wi-Fiルーター・Wi-Fi中継機を最新のファームウェアに更新する方法」では、手動更新の方法が画面や動画で解説されている

 なお、バッファローが5月23日に公開した情報では、「最新のセキュリティー状態への自動更新を予定しております。(スケジュールは別途お知らせいたします)」と記述されているため、今回の該当製品に対して、今後、何らかの対応をした最新のファームウェアが提供される可能性がある。該当製品を利用している場合は、継続的に同社のウェブサイトをチェックして、続報や最新のファームウェアの有無などを確認するようにした方がいいだろう。

 該当製品は、いずれも(バッファローのウェブサイトで公開されている取扱説明書によれば)自動更新機能を搭載しているが、設定がオフになっている可能性もあるので、このタイミングで確認しておくと安心だ。また、5月23日の情報では、以下の4製品が特に名指しされ、最新のものに更新するようにとされている。自動更新の確認とあわせて、最新のファームウェアになっていなければ更新しておこう。

  • WHR-1166DHP
  • WHR-300HP2
  • WHR-600D
  • WMR-300

将来のため 2. 買い替えを検討する

 今回のケースでは、古い設計の、Wi-Fi 5(IEEE 802.11ac)やWi-Fi 4(IEEE 802.11n)の世代の製品がターゲットとなっている。

 この時代の製品は、初期パスワードが推測されやすいなど、現在の事情に照らしてみた場合のセキュリティ上の課題も多いだけでなく、現代の最新のWi-Fi 7(IEEE 802.11be)やWi-Fi 6/6E(IEEE 802.11ax)と比べると無線LANの性能も低いため、素直に買い替えを検討すべきだ。

 最新モデルであれば、何もしなくても推測されにくいパスワードが設定されているし、ファームウェアの自動更新機能により、万が一、脆弱性が発見されても自動的に対応できる。

対象製品以外や他社製品のユーザーも他人事ではない

 以上、今回のバッファロー製Wi-Fiルーターのボット感染の問題についてまとめてみた。しかしながら、重要なのは、対象製品以外のユーザーも他人事と考えないことだ。

 実際、Wi-Fiルーターの脆弱は日々発見されていており、例えばJVNでの2024年4月以降の報告だけ集めても、以下のようなものがある。

バッファロー

 ログイン画面にアクセスできる攻撃者によって、設定済みの認証情報を窃取される脆弱性。今回のNICTERの報告と関連すると推測されるが、「WSR-2533DHP」や「WSR2533DHP」などの比較的新しい製品も含まれている点に注意が必要

JVN#58236836バッファロー製無線LANルーターにおける複数の脆弱性(JVN)
一部Wi-Fiルーター商品における複数の脆弱性とその対処方法(JVN#58236836)(バッファロー)

NECプラットフォームズ(Atermシリーズ)

 Web管理画面におけるOSコマンドインジェクションなどの脆弱性が発表されている。

JVN#82074338 NEC Atermシリーズにおける複数の脆弱性(JVN)
Aterm製品におけるLAN側からの不正アクセスの脆弱性への対処方法について(Atermサポート)

NETGEAR

 アクセスできる第三者によって認証を回避される脆弱性が発表されている。

JVNVU#91883072 NETGEAR製ルーターにおけるバッファオーバーフローの脆弱性(JVN)
NETGEAR Support一部のルーターにおける認証バイパスに関するセキュリティ勧告 (PSV-2023-0166)(ネットギア)

 こうした点を考えると、今回、対象となっている製品のユーザーでなくても、同様に、再起動や再設定、パスワードの確認、ファームウェアのアップデート(自動更新の場合はバージョンの確認)をしておくことが重要となる。

 メーカーや製品を問わず、Wi-Fiルーターの脆弱性が話題になったタイミングで、再起動やパスワード変更、ファームウェア更新などをしておけば、自宅のWi-Fiルーターのボット感染を回避できる可能性が高くなるだろう。