トピック

「自宅のルーターが乗っ取られサイバー攻撃に加担」は普通に起きている! サイバー攻撃に対して今すぐできる対策方法とは?

  • 清水 理史

2025年2月28日 06:00

 2024年末から2025年にかけて、社会的なインフラをターゲットにした大規模なサイバー攻撃が大きな話題となった。

 交通障害などで、その影響の大きさを実際に体験した人も少なくないかもしれないが、「狙われるのは大企業」「誰が犯人なんだろう」と、どこか他人事に感じてはいないだろうか? しかし、こうした攻撃には、あなたの家で、今まさに使っているWi-FiルーターなどのIoT機器が関与している可能性がある。そこで本稿では、IoT機器がどのように乗っ取られ、どのような攻撃に使われてしまうのか? そして、どう防げばいいのかを紹介する。

「NOTICE」の脆弱なIoT機器のレポート。これらの機器が大規模なサイバー攻撃に関与している可能性がある

「ウチのWi-Fiルーターが? ボット?? 攻撃に参加!?」

 「あなたの家のWi-Fiルーターが、先日のサイバー攻撃に加担していた可能性があります」。

 大規模なサイバー攻撃のニュースを耳にして、「大変そうだなぁ」と思っていたあなたの元に、ある日、突然、そんな連絡が入ったら、どう思うだろうか?

 もちろん、これは仮の話なので、現実にそうなるとは限らない。しかし、現在、全国の家庭内に設置されているWi-FiルーターなどのIoT機器の多くは、悪意のある第三者に乗っ取られる危険と隣り合わせの状況にあり、いつ悪意を持った「攻撃者」へと変貌してしまってもおかしくない。

DDoS攻撃のしくみ

 サイバー攻撃というと、悪意を持った「海外の誰か」が攻撃をしかけているように思うかもしれないが、実際は、黒幕が直接手を下すケースは少ない。黒幕は、あらかじめ自分の意のままに動く「ボット」を大量に用意し、それらを組織化して、攻撃命令を下すだけだ。こうして、特定の組織に対して一斉に攻撃が行われたり、攻撃対象のパスワードを解読するための計算資源として使われたりする。

 つまり、実際に攻撃しているボットは、日本の、どこにでもある、家庭内のIoT機器であり、その1台が、実はあなたの家の中にあるIoT機器かもしれないのだ。

2024年末から2025年初頭にかけて、交通機関や金融機関に対して大規模なサイバー攻撃が行われ、大きな話題になった。自分にそんなつもりがなくても、攻撃者の主張や目的を達成するための道具として、もしかすると、この攻撃にボット化したあなたの家のIoT機器が参加していたかもしれない。

 そんな恐ろしい状況が、実際に、身近に存在しているのだ。

「DDoS」で大規模で目立つ被害を与える最近のサイバー攻撃

 近年のサイバー攻撃は、ランサムウェアのように特定の組織を狙って金銭を要求するものに加え、以下のように大規模かつ、あえて目立つように被害を与える事例が増えている。

【最近のDDoS攻撃の例】
  • 2025年1月 日本気象協会 DDoS攻撃により「tenki.jp」がつながりにくい状況
  • 2025年1月 NTTドコモ DDoS攻撃で決済システムなどにシステム障害
  • 2024年12月 りそな銀行 DDoS攻撃で個人向けのインターネットバンキングで接続しづらい状況
  • 2024年12月 三菱UFJ銀行 外部からのDDoS攻撃でネットバンキング障害
  • 2024年12月 日本航空 DDoS攻撃による同社ルーターのシステム障害で大規模な遅延が発生
  • 2024年6月 ヒナプロジェクト DDoS攻撃により「小説家になろう」ページ表示が遅くなる被害
  • 2024年5月 JR東日本 インターネットサービスの一部についてアクセスしづらい状況
  • 2024年2月 横須賀市 DDoS攻撃によりホームページが閲覧できなくなる障害

 こうした事例に共通するのが、「DDoS」と呼ばれる攻撃手法だ。DDoSは、「Distributed Denial of Service」の頭文字をとったもので、日本語では「分散型サービス妨害」と呼ばれている。

 簡単に言えば、ターゲットとなる組織のウェブページやサービスなどに大量のアクセスを発生させ、アクセスしづらい状況やサービス停止に追い込む手法となる。

 もちろん、交通機関や金融機関のシステムは、季節的な需要の増減に備えてシステムの増強を図っている。つながりにくい状況はあっても、完全にサービスが停止することがないように設計されている。しかし、DDoS攻撃では、こうした想定をはるかに上回る量のアクセスを発生させる。

 例えば、2023年8月にGoogleのサービスを標的としたDDoS攻撃では、1秒あたり3億9800万リクエストという想像を超える大量のアクセスが記録されている。

2023年8月のGoogleへの攻撃では1秒間に4億近い膨大なリクエストが発生した

▼2023年10月19日掲載のGoogle Cloudブログ
Google、ピーク時で3億9800万rpsを超える、現時点で最大規模のDDoS 攻撃を緩和

 大量のアクセスを受けると、組織のサービスを提供するためのサーバーやルーターなどの機器の動作は、最悪の場合、動作を停止してしまう。そして、攻撃が続く限り、同じことが繰り返され、サービスが復旧できなくなってしまう。

 もちろん、こうした大量のアクセスは、攻撃者だけでは発生させることは難しい。そこで使われるのが、冒頭で触れた、乗っ取られて「ボット」化した家庭内のWi-FiルーターなどのIoT機器になる。

 DDoS攻撃のやっかいな点は、攻撃の送信元が広範囲、かつ顧客である可能性を持っている点にある。特定の送信元(例えば特定の国からの通信)であれば、その範囲を指定して通信を遮断することもできるが、正規の顧客かもしれない日本全国の家庭からの通信をまとめて遮断するわけにはいかない。このため、攻撃を防ぎにくい状況がある。

攻撃が多数の発信元で、正規の顧客との区別がしにくく遮断しにくい

 こうしたDDoS攻撃の目的は一定ではないが、近年では、人々の注目を集め、特定の主張を広めるための道具として使われるケースも増えている。

 また、市場操作の意識をもって実行されることもある。特定の組織の営業活動を妨害したり、信頼を貶めたりすることにより、間接的に株価を操作し、利益を狙う場合もある。

 実際、前述した交通機関や金融機関などへのDDoS攻撃は、明らかに年末年始の影響の大きなタイミングを狙って実施されている。

 つまり、知らない誰かの主張を押し通したり、利益を得たりする目的のために、あなたの家にあるIoT機器が、むしろ直接的に関与していることになる。

ボット化し、ボットネット化され、攻撃を開始するしくみ

 では、どのようにして、家庭内のIoT機器がDDoS攻撃に参加するようになってしまうのだろうか? セキュリティ企業が公開している詳しい情報を元に、もうすこし分かりやすく簡略化して紹介しよう。

▼トレンドマイクロによる2024年末からのDDoS攻撃に関するレポート
2024年末からのDDoS攻撃被害と関連性が疑われるIoTボットネットの大規模な活動を観測

  1. ファームウェアの不具合(脆弱性)や「admin/password」などの簡単なパスワードを悪用してIoT機器に侵入する
  2. 悪意のあるスクリプトを実行し、マルウェアをダウンロードするためのプログラム(ローダー)をダウンロードする
  3. ローダーを実行して、マルウェア本体を配布サーバーからダウンロードする。
  4. マルウェアが実行され「ボット」化。マルウェアはメモリ上で実行される。実行ファイルを感染ホスト上に残さないことで検出しにくくする
  5. マルウェア本体が、指令用のサーバー(C&Cサーバー)に接続し、攻撃者からのコマンドを待ち受ける。複数のボットが組織化された「ボットネット」として稼働するようになる
  6. 攻撃者は、指令用サーバーを通じて、ボットネット全体に指令を送る
  7. ボットが指令用サーバーを通じてコマンドを受信すると、スキャンや攻撃を実行する
ボットによる攻撃の様子

 もちろん、これは一例となる。場合によっては、指令用サーバーを経由せずにP2Pでボット同士が連携するボットネットなども存在する。

 いずれにせよ、こうしたプロセスによって、家庭内の普通のIoT機器が「ボット」になり、ボット同士が連携する「ボットネット」として、DDoS攻撃に参加することになる。

自宅のルーターのボット化を防ぐ方法

 では、どうやって、自宅のIoT機器が悪用されるのを防げばいいのだろうか?

 ポイントは、先のボット化プロセスの「1」の初期段階にある。

 Wi-Fi ルーターなどのIoT機器には、通信機能の実行や管理のためのプログラム(ファームウェア)が内蔵されている。これらのプログラムに不具合がある場合、意図しないプログラムが実行されたり、管理権限が取得されたりするケースがある。

 また、管理画面にアクセスするためのIDとパスワードが簡単なものの場合、悪意を持った第三者も簡単に管理画面にアクセスできてしまう。こうした状況が悪用され、乗っ取りのための最初のステップが実行されてしまうことになる。

 つまり、ボット化を防ぐには、こうした最初のステップが重要になるわけだ。

 現在、Wi-Fiルーターメーカーなど、IoT機器の開発・販売をするメーカーは、製品に対してファームウェアの自動アップデート機能を提供したり、初期設定のパスワードを複雑にして出荷したりするなど、ボット化を防ぐための工夫をしている。

 ただし、古い機器(発売から5年以上が経過しているような製品)では、こうした機能が実装されていない場合がある。

 また、せっかく初期設定で複雑なパスワードが設定されていたとしても、ユーザー自らの手で「password」などの簡単なパスワードに変更されてしまっている可能性もある(簡単な組み合わせを設定できないように制限している製品もある)。

 このため、大切なのは、自宅のIoT機器を自分で管理することだ。また、設定の不備が狙われるケースもあるため、以下のような点をチェックし、不備があれば設定を変更しておくことを強くおすすめする。

管理画面のパスワードを推測されにくい複雑なパスワードに変更する

 英大文字小文字、数字、記号を含むランダムな文字列に変更しておく。

管理画面でパスワードを変更しておく

サポート期限を確認する

 サポート期限が切れると最新のファームウェアが提供されない。サポートが終了している場合は後継機種などに買い替える

メーカーが公表しているサポート期限を確認する

最新版のファームウェアにアップデートする

 管理画面からオンラインでアップデート、またはメーカーのサポートサイトから手動でダウンロードして更新する。

メーカーのサポートサイトで最新のファームウェアを確認し、管理画面からオンラインまたは手動でアップデートする

使わない機能や設定を無効にしておく

 管理画面でSSH接続、VPNサーバー機能、ポートフォワード、DMZ機能など、外部からのアクセスを許可する設定がある場合は必要性を再検討する。不要な場合は無効にする。

VPNサーバーなど使わない機能は無効化しておく

セキュリティ情報を確認する

 メーカーのサポート情報サイトで、自分が使っている機種のセキュリティ情報がないかを確認する。

メーカーから公表されている脆弱性などの情報を確認しておく

 また、前述したボット化のプロセスの「4」で、マルウェアはメモリで実行されることを紹介した。すべてのマルウェアがそうではないが、メモリで実行される場合は、機器の再起動によってメモリをクリアすることで、一時的にマルウェアを排除できる。

 脆弱性や簡単なパスワードの対策をしないまま使い続ければ、再びボット化する危険性が高いので、緊急用の対策とはなるが、Wi-FiルーターなどのIoT機器の電源をオフ/オンして、再起動することもオススメする。なお、電源を入れ直す際は、完全にメモリをクリアするために、オフにしてから30秒ほど時間を置いてからオンにするといいだろう。

IoT機器の危険について知り、対策方法を学ぶオンライン講座

 このように、Wi-Fiルーターなどの身近なIoT機器が、世間をにぎわせている大規模なDDoS攻撃に悪用される可能性があることを紹介した。

 自分には関係ないと考えずに、ファームウェアの更新やパスワードの変更など、できる対策をすることが重要だ。

 「DDoS」や「ボット」「ボットネット」など、聞いたことがある危険が、実はとても身近なものであることが理解できたのではないだろうか。

 Wi-Fiのセキュリティについてもっと知りたいという人は、以下のようなオンライン講座を受講するのもおすすめだ。公衆Wi-Fi、自宅Wi-Fiの利用者、店舗などのWi-Fi提供者向けに、Wi-Fiの安全な利用・提供方法を基礎から学ぶことができる。

 自分の身を守るためだけでなく、DDoS攻撃による社会的なダメージを軽減するためにも、ぜひ活用してほしい。

Wi-Fi利用者・提供者向けの無料オンライン講座

総務省ではWi-Fiの安全な利用・提供方法を学べるオンライン講座「今すぐ学ぼう Wi-Fiセキュリティ対策」を開催している。講座では、公衆Wi-Fiを利用する人、自宅でWi-Fiを利用する人、公衆Wi-Fiを提供する人を対象に、それぞれの立場において、気を付けるべきセキュリティ対策のポイントを紹介する。

オンライン講座の申し込みは、こちらから