特集

専門知識ナシでも安全に使える「DLPA推奨Wi-Fiルーター」はどこが違う? ポイントとその効果を聞く

 アイ・オー・データ機器、NECプラットフォームズ、エレコム、バッファローの国内Wi-Fiルーターメーカー4社が加盟する一般社団法人デジタルライフ推進協会(DLPA)では、サイバー攻撃の備えとして有効な機能を搭載した「DLPA推奨Wi-Fiルーター」を、2019年12月に発表した。

 それから約5年。発表後に加盟4社が発売したWi-Fiルーターは、全てがDLPA推奨Wi-Fiルーターの条件を満たす。今回は、DLPA推奨Wi-Fiルーターについて、そうでないWi-Fiルーターとどのような違いがあり、どのようにサイバー攻撃を対策できるのかを伺った。

 Wi-Fiルーターの買い替えを考える目安として、購入してから5年経ったら、とよく言われる。そう考えると、これからDLPA推奨Wi-Fiルーターが登場する前の製品からDLPA推奨Wi-Fiルーターへ買い替えることになる人が多くなると思うが、セキュリティ面でどのようなメリットが得られるかを知っておこう。

今回お話を伺ったDLPAの皆さん。手前から、エレコム株式会社 ソリューション企画部 スーパーバイザー 谷川篤氏/エレコム株式会社 ネットワークデバイス課 コンシューマNWデバイスチーム チームリーダー 神田鉄也氏/株式会社バッファロー 販売企画部 コンテンツ制作課 菅井将人氏/株式会社アイ・オー・データ機器 広報宣伝部 広報宣伝課 チーフリーダー|DLPA普及ワーキンググループ リーダー 土肥毅大氏/NECプラットフォームズ株式会社 アクセスソリューション事業部門 ホームネットワーク統括部 ホームネットワーク事業第三グループ マネージャー 戸塚昭彦氏
オンラインで2名の方に参加いただき、技術的な補足情報などをいただいた。画面右上は株式会社バッファロー ネットワーク開発部 内製FW第一開発課長 市川剛生氏、下は株式会社アイ・オー・データ機器 第3事業部 開発3課 技師 島田康晴氏(左上は土肥氏)

「マニュアル読まずにつなぐだけ」でも最低限の安全を確保

 DLPA推奨ルーターの重要な要素は2つある。1つ目は「ファームウェアの自動更新」で、これにより、ユーザーが何もしなくてもファームウェアを最新の状態に保ち、脆弱性を自動的に修正できる。

 INTERNET WatchでもWi-Fiルーターの脆弱性に関する情報が公開された際には記事で紹介しているが、多くのケースでは、ファームウェアが自動更新されていれば、すでに対策は完了していることになるはず。Wi-Fiルーターを安全に使ううえで、基本中の基本とも言える機能だ。

 2つ目は「管理画面のログインIDまたはパスワードの固有化」。これは、Wi-Fiルーターの各種設定を行う管理画面にログインするためのパスワードとして、1台ごとに固有、かつ推測しにくいものが設定されていることを指す。管理画面のIDは一般によく使われる文字列になっていることも多く、大抵はパスワードが固有化される。

 これによって、インターネット経由で家庭のWi-Fiルーターにサイバー攻撃者が侵入・乗っ取りを試みることがあっても、簡単にはログインできないようにする。昔のWi-Fiルーターでは、初期パスワードに簡単な文字列を設定し、ユーザーが利用を始めるときに変更するように、とマニュアルなどに記載していた。ネットワーク機器を使い始めるときに、ユーザーが自分で推測されにくいパスワードを設定するのは、ネットワークやインターネットについてある程度「勉強」した人にとっては「常識」だったためだ。

 しかし、インターネットは広く普及し、使うために特に勉強を要するものではなくなり、ユーザーが自分で推測されにくいパスワードを設定することについても、「常識」として期待はできなくなった。そこで、メーカーが出荷段階で固有のパスワードを設定するようにしたわけだ。

管理画面のパスワードとして、1台ずつに固有の推測しにくい文字列が設定されている

マルウェア「Mirai」の流行などがきっかけとなり検討を開始

 DLPA推奨Wi-Fiルーターの検討が始まったのは2017年ごろ。前年の2016年から大きな被害を出し、問題となったIoT機器を狙うマルウェア「Mirai」(ミライ)が、大きなきっかけとなったという。「DLPAでというよりも、いちメーカーとして、Miraiの台頭はセキュリティを重要視するきっかけとなりました」(アイ・オー・データ機器 島田氏)。

 Miraiは、Wi-FiルーターなどのIoT機器を乗っ取り、ボットネット化するマルウェアで、ネットワーク機器の初期パスワードとしてよく使われる文字列のデータを持っていて、それを使って管理画面への侵入を試行することが特徴だった。

 DLPAでは、外部の専門家のアドバイスも受けながら準備を進め、2018年からDLPA推奨Wi-Fiルーターの仕様について具体的な検討を開始したという。管理画面のパスワードに関しては、ユーザーが変更するまでもなく、マルウェアなどの攻撃を受けても簡単には管理画面への侵入を許さないようになったわけだ。

 「管理画面のログインIDまたはパスワードの固有化」の具体的な実装方法は、加盟メーカーごとの判断に任されている。大きく分けて、利用を始める前に初期設定の段階で必ずパスワードの変更を求める方法と、初期パスワードとして固有の文字列を設定する方法が考えられるが、現状、DLPA加盟メーカー4社は全て後者の方法を採用している。ユーザーに変更を求めた場合、どうしても固有ではあっても推測されやすい文字列が設定されることがあり、各社とも、後者の方が高い安全性を確保できると判断しているという。

エレコム 神田氏(写真右)「(パスワードの固有化の実装方法はメーカーごとに異なるという話題で)例えばエレコムでは、『1』と『I』のような見間違いやすい文字は使わないようにしています」。各社とも独自の考えやノウハウを持っており、実装方法の共通化はしなかったという

 ちなみに、DLPA推奨Wi-Fiルーターの発表前に発売された製品は全てファームウェアの自動更新やパスワードの固有化が行われていなかったのかというと、そういうわけではなく、発表前以前の製品で、これらを搭載しているものも多い。現在使っている製品が気になる場合は、調べてみてほしい。

 また、DLPA加盟メーカー以外の製品でも、2020年4月の総務省令により改定された技術基準適合認定を受けた製品は、ファームウェアの自動更新、IDやパスワードの固有化の2点を、DLPA推奨Wi-Fiルーターと同様に満たした製品となっている。詳しくは関連記事を参照してほしい。

 総務省令の内容とDLPA推奨Wi-Fiルーターの仕様は、互いに情報交換などを行いながら策定されたわけではないそうだが、同じ課題意識から検討が始まったものであり、おのずと同様の結論に至ったようだ。

VPNサーバーなどの機能は実装しても初期状態で無効化

 DLPA推奨Wi-Fiルーターを発表してから約5年、今年10月末までの時点で、DLPA推奨Wi-Fiルーターを初期設定状態で使っていて、Mirai(類似のマルウェアも含む)の感染事例は把握していないという。これは、どんなユーザーでも一定の安全性を保って使えるようになっているということだと捉えていいだろう。

 各社のDLPA推奨Wi-Fiルーターでは、一般家庭での利用において必要ないと思われる機能、特にインターネット側から設定を変更する機能やVPNサーバー機能はあまり搭載されなくなっており、搭載している場合でも初期状態では無効化されているという。

 今後は、家庭向け製品は安全を優先した設計で、それ以上の高度な機能を求めるユーザーのニーズには法人向け製品で応える、という方向になっていくようだ。

ユーザーの「自己管理の意識」が高まっているように感じる

 メーカー各社から見て、Wi-Fiルーターの使われ方が変わったと感じられる出来事が、これまでにいくつかあったという。取材時に話題になった中で最も古いのは、スマートフォンの普及だ。2008年発売の「iPhone 3G」が火付け役となり、大きく普及が加速した。「これによって有線から無線に大きなシフトが起こり、Wi-Fi高速通信が普及しましたね」(NECプラットフォームズ 戸塚氏)。

 次いで、IPv6(IPv6 IPoE)接続の普及により、Wi-Fiルーターの設定方法が変わったことがある。IPv6普及・高度化推進協議会およびIPv6社会実装推進タスクフォースは2012年から2021年までフレッツ 光ネクスト網におけるIPv6の実利用状況の調査結果を発表していたが、2012年には0.8%だった普及率が、2021年には80%になっており、10年足らずで大幅に普及したことが伺える。

 そして、先にも紹介したマルウェア「Mirai」の台頭があった。並行して、「Fire TV」シリーズのようなストリーミングプレイヤーやネットワークカメラなどIoT機器の普及もあり、Wi-Fiルーターに接続する機器が大幅に増えた。メーカーではサポートなどのために自社製品と市場に流通している機器が問題なく接続できるかをテストするが、製品が多くてなかなかテストしきれない状況にあるという。

 2020年からは、コロナ禍の影響があった。ユーザーがテレワークや自宅学習をすることが多くなり、自宅のネットワーク環境にあらためて関心が向けられるようになった。

NECプラットフォームズ 戸塚氏「スマートフォンの普及で、有線から無線へ大きくシフトが起こりました、その後も、IPv6接続の普及、IoT機器の普及、コロナ禍といった節目があったと感じています」

 そして、2023年には警視庁・警察庁から「家庭用ルーターの不正利用に関する注意喚起」が発表された(関連記事1関連記事2参照)。これをきっかけに、ユーザーが自己管理しようという意識が高まっていると感じられるという。

 「以前は、脆弱性が存在するという情報が公開されると、当たり前ではありますがメーカーに対する責任を求める声が多く上がっていたように思います。 しかしながら、警視庁・警察庁の注意喚起がメーカーだけではなく、インターネットを使用するユーザーの皆様においての自己管理も必要とされる内容だった影響か、その後は脆弱性の情報が公開された際にも、自分で使うWi-Fiルーターは自分で管理する必要もあるよね、といった声が多くなっているように感じます」(エレコム 谷川氏)。

 メーカーが製品の安全性を追及するのは当然だが、ユーザーも、自宅のWi-Fiルーターが安全が保たれた状態になっているか設定を確認する、サポートが切れた製品は早めに買い替える、といったことを適宜行うべきだろう。

これからも続く、安全と快適なインターネット利用に向けた取り組み

 インターネットを安全・快適にできるようにするため、DLPAは新しい取り組みも行っている。最後に2つの取り組みを紹介したい。

 1つは、一般社団法人日本インターネットプロバイダー協会(JAIPA)との情報交換だ。インターネット接続回線、Wi-Fiルーター、そしてスマーフォンやPC、各種IoT機器がそれぞれ増え、多様化・多機能化していく中で、トラブルが起きたときにユーザーがISPやWi-Fiルーターメーカーに問い合わせても、問題の切り分けが難しく、うまく解決できないことが増えている。

 「(回線から端末までを同じ事業者が扱っている)スマートフォンでは、大きな駅前には直営店があって、困ったことがあってもすぐ聞きにいけますが、Wi-Fiルーターの場合はそうなっていません」と、バッファローの菅井氏は話した。インターネット接続のための回線や機器を自分で選べる自由度がある代わりに、サポートをワンストップで行う体制は現状なく、また、トラブルが発生しても、回線に問題があるのか、機器に問題があるのかを特定するのが難しいこともある。多くの問題を適切に解決できるようになることを目指し、2024年からDLPAとJAIPAの間で情報交換を行っているという。

バッファロー 菅井氏「(スマートフォンの話題の流れで)スマートフォンを買い替えるとき、一緒にWi-Fiルーターを買い替えることを検討していただくのもいいと思います」。例えばiPhone 16シリーズならWi-Fi 7に対応しており、一緒にWi-Fi 7対応ルーターを導入することで、パフォーマンスを最大限に引き出せるようになる。数年に1回のペースで買い替えるなら、いいタイミングと言えそうだ
DLPA普及ワーキンググループのリーダーでもある、アイ・オー・データ機器の土肥氏に、JAIPAとの取り組みの詳細を説明いただいた。「まずはサポート事例を共有しているところですが、次の段階では解決のアイデア出しを行って、ユーザーの皆様の満足度向上を目指します」

 もう1つ、9月末に独立行政法人情報処理推進機構(IPA)が発表したばかりの、IoT機器に対する「セキュリティ要件適合評価及びラベリング制度」(JC-STAR)に関する取り組みも検討されている。DLPAは同制度の協賛団体として参画しており、具体的な内容はまだ固まっていないとのことだが、安全性が確認できる新たな基準も生まれることが期待できる。