is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
身近なネットの脅威

ホームルータをそのまま使っていただけなのに・・・【第1回】

2020/09/24
身近なネットの脅威 ホームルータをそのまま使っていただけなのに・・・【第1回】

家庭内でWi-Fiを使って複数の機器や家電を連携、活用することが一般化しつつあります。便利な一方、基本的なセキュリティ対策をおろそかにしていると思わぬトラブルや被害に遭う可能性があります。その危険性を知り、対策を行いましょう。

家庭内で無線ネットワーク(Wi-Fi)を使ってスマホやタブレット、複数のスマート家電を連携、活用することが一般化しつつあります。一方で、それらの機器がつながっている家庭内ネットワーク(ホームネットワーク)のセキュリティについて、対策を重要視している家庭は限られます。家庭内ネットワークのセキュリティ対策の肝はホームルータの管理です。ホームルータは家庭内ネットワークとインターネットとの出入口であり、この出入口が侵害されてしまうと、第三者に家庭内のネットワークや、接続されている機器を意のままに不正操作されてしまう危険性があるためです。

本シリーズは全3回に分け、検証結果に基づく身近に起こり得る脅威と、その対策を紹介します。第1回目は攻撃の入口となる、Wi-Fiを介した不正なネットワークへの参加とホームルータの設定変更についてです。続く第2回と3回目では、不正に設定を変更されてしまったホームルータを経由して実行される、情報窃取やスマートデバイスの不正操作について脅威例と対策を紹介します。家庭での安心・安全なインターネット活用に役立ててください。

Wi-Fi圏内にいる悪意を持った第三者からの攻撃

ホームルータを介した脅威には、大別してインターネット上から第三者が脆弱性などを悪用して攻撃を行う場合と、無線通信の圏内にいる第三者による攻撃の2つがあります。今回の検証は、より身近な脅威事例として、マルウェアや脆弱性を使わずに、専門知識があまりなくても攻撃可能なWi-Fi圏内からの攻撃を想定したものです。インターネット越しの攻撃に限らず、近くに悪意を持った第三者がいた場合、こんな被害に遭うかもしれません。

●検証環境

Wi-Fiネットワークの通信範囲は、ホームルータの種類によって異なるものの、建物の外や、隣家、集合住宅では上下左右の家庭にまで及ぶ場合があります。通常は自身の家庭内ネットワークをそれぞれが利用します。しかし基本対策をおこたった結果、通信圏内にいる悪意を持った第三者によって家庭内ネットワークに介入される危険性もあり、その被害は単に通信のただ乗りをされるだけではありません。

●被害第一段階:Wi-Fi通信圏内にいる第三者がネットワークに参加する

現在市販されている主なホームルータは、特に利用者が設定を行わなくてもネットワーク認証用のパスワードで暗号化されたWi-Fiネットワーク名(SSID)と、その認証用として一意のパスワードが割り振られています。
しかし、ネットワーク認証用のパスワードで暗号化されたネットワークであっても、ネット上で配布されている不正ツールなどを第三者が悪用した場合、ネットワーク認証用パスワードを解読されてしまう可能性があります。さらに、簡易な形式で暗号化された通信の場合や、そもそもネットワーク認証用パスワードを設定していない場合は、スマホ一台あれば容易に突破され、第三者に家庭内ネットワークへの参加を許してしまいます。

ネットワーク認証用パスワードの解読は、いくつかの条件にもよりますが最も簡易なWEP形式ではたったの10秒、その上位であるWPAで数分、さらに複雑なWPA2でも不十分なパスワードの長さや複雑さなどの条件によって数分から数日でパスワードの解読が成功する可能性があるという研究結果が公表されています。このことからも、ネットワーク認証用パスワードを設定していない通信や、WEP、WPAによる通信は、外部からの不正行為に対して非常に脆弱であることが分かります。最低でもWPA2以上を利用し、適切な長さや複雑さのパスワードを設定した上で、暗号化された通信を利用する必要があります。しかし、通信の暗号化だけでは十分な対策とは言えません。

●被害第二段階:ホームルータの設定画面に不正ログインされる

通常、市販されているホームルータは設定管理画面に入るための初期設定パスワードが機種やメーカーごとに統一されており、そのパスワードが記載された説明書はネット上でも公開されています。つまり、攻撃者がネットワーク認証用パスワードを突破して家庭内ネットワークに侵入してきた場合、ホームルータの設定管理画面のパスワードを初期設定のままや、単純なものにしていると、設定画面に不正ログインされ、意のままに設定変更されてしまうことになります。

●被害第三段階:ホームルータのDNS設定を書き換え、遠隔攻撃の準備を整える

被害内容の前に、まずはDNSとは何かについて確認しておきましょう。私達がインターネット上のサイトを参照する際、通常英数文字のURLを入力します。しかし、これは人間が覚えやすいように変換されたものです。実際には、コンピュータ同士が通信を行う際、一意の数字の羅列で作られたIPアドレスによって通信先を参照しています。この、URLに紐づくIPアドレスの参照作業を行っているのがDNS(ドメインネームシステム)と呼ばれるものです。このDNSが正しい参照先と紐づいていることで、私たちはアクセス先にたどり着くことができます。

図:DNS設定が正常な場合

しかし、このDNSの設定を不正なものに書き換えられてしまうと、いくら私たちが正しいURLを入力しても、別のIPアドレスに紐づけられて異なるサイトに誘導されてしまいます。つまり、この仕組みを悪用することで攻撃者は被害者を遠隔からでも任意のサイトに誘導することが可能になるのです。

図:DNS情報の不正な書き換えにより不正サイトに誘導

ホームルータを利用してインターネットに接続している場合、ホームルータの設定画面から任意のDNSサーバを参照するように設定を変更することが可能です。この設定を第三者が不正な参照先に変えることで、アクセス先のサイトを自由にコントロールすることが可能となってしまいます。

図:DNSサーバの設定画面イメージ

また、インターネット側からのリモートアクセスを有効にすることで、設定管理画面に遠隔からも不正アクセスが可能となり、いつでも自由に設定変更できるようになってしまいます。

図:インターネット側からのアクセス設定画面イメージ

このように、Wi-Fiを介して家庭内のネットワークへ不正に参加した後、ホームルータの設定画面に不正ログインし、設定を変更して攻撃の下準備を整えれば、インターネットを介した遠隔からの攻撃が可能になります。そのため、攻撃者はWi-Fi通信圏内に留まる必要は無くなり、外部からゆっくり標的を攻撃することが可能になるわけです。

セキュリティ対策を強化するための設定

家庭内ネットワークへの参加を防止するためには、基本対策が重要です。どれが欠けても十分とは言えませんのですべて実践しましょう。

  • ホームルータの設定管理画面の初期パスワードをなるべく複雑なものに変更する
    (パスワードを忘れてしまっても機器のリセットで設定し直せます)
  • ホームルータの脆弱性を悪用されないよう、ファームウェア(機器管理用のソフト)を常に最新の状態に保ち、サポートが終了している場合は新しいものに買い替える
  • ホームルータに不明な機器が接続されていないかどうか確認し、不審な機器がある場合は設定や対策を見直す
    (機種によっては管理画面で接続機器一覧が表示可能)
  • 通信をWPA2以上、かつ15文字以上の数字、英大文字、小文字および記号を含むネットワーク認証用パスワードで暗号化する
  • WPA3対応のホームルータでは、WPA2よりも難解なWPA3を利用する(ただし、WPA3にも脆弱性が見つかっているので常に最新に保つ)

長くて複雑なパスワードを考えたり、管理したりするのが困難に感じる場合は、パスワード管理ツールの利用が便利です。条件に合ったパスワードを自動生成し、そのパスワードを保管しておくことも可能です。

追加の基本対策

可能であれば以下の対策も追加で行いましょう。

  • 無線ネットワークを介した設定変更を防止するため、設定変更を有線からのみにしておく
  • WEPでしか利用できない機器がある場合は、主要なデバイスで利用するネットワークから隔離したネットワークを別に設ける
  • ホームルータのローミング設定を悪用される手口が報告されているので、ローミング利用者は再検討する

詳しい設定方法は各ホームルータの説明書やサポートページを参考にしてください。

それでも対策に不安を感じる場合

ネットワーク全体を保護するセキュリティ製品の利用を検討してください。例えば、トレンドマイクロのウイルスバスター for Home Network*の場合、ホームルータに接続し、専用アプリを利用するだけで、攻撃の第一段階となる家庭内ネットワークへの無断参加をブロックします。万一第三者がネットワークに参加しようとしても、管理アプリの通知から許可を行わない限り、第三者がネットワークに参加することはできません。また、ホームルータの設定画面へのアクセスを第三者が試みた場合にも、管理アプリに通知し、アプリ側から許可をしない限りホームルータの設定管理画面へのログインを許しません**。
他にも、利用しているホームルータや家庭内ネットワークに繋がっている機器に対し、パスワード設定やファームウェアなどの脆弱性を診断し、対処法を通知してくれます。さらに、専属のサポートスタッフによる電話やLINEを介した支援や、家族のネット利用見守り機能、不信な通信、不正サイトといったさまざまなネット上の危険からも守ってくれます。スマホやタブレット、パソコン同様、安心・安全なネット利用にはネットワークのセキュリティ対策も欠かさないようにしましょう。
*パソコンやモバイルには別途専用のセキュリティソフトやアプリのインストールが必要です。
**本機能はベータプログラム内の評価中の機能です。

第2回では、設定を不正に変更されてしまったホームルータを起点とした攻撃と、それに対する対策を紹介します。

※この記事は制作時の情報をもとに作成しています。

  • フラウネッツ
  • セキュリティブログ
フラウネッツ
セキュリティブログ