家庭のネットワークから侵入のリスク？安価な高機能Wi-Fiルーターの安全性を調べてみた

デジタルペンテストサービス部の日野です。

最近のテレワークの拡大によって、自宅でWi-Fi環境を整えるためにWi-Fiルーターを購入した方も多いかと思います。場合によってはそのWi-Fiルーターを緊急的にリモートアクセス用のVPNルーターとして活用したケースもあるかも知れません。

このような機能は以前であれば高価格帯の製品に限られていましたが、現在ではVPN機能を搭載した海外製品が通販サイトやディスカウントストアで、安く簡単に入手できるようになっています。

一方で、近年ではVPN機器などのネットワーク機器を対象としたサイバー攻撃も非常に多く、家庭向けのWi-Fiルーターもターゲットとなるケースが見られます。テレワーク拡大によって従業員が利用する端末のセキュリティを強化した企業であっても、家庭内に新たに設置されたWi-Fiルーターに目を向けることは少ないように思われます。

今回、デジタルペンテストサービス部では、実際に通販サイトなどで格安で販売されている海外製Wi-Fiルーターを3機種購入し、これらの機器が家庭内はもちろんのこと、テレワーク時の環境として安全に利用できるものであるかを調査しました。
なお、今回の調査はデジタルペンテストサービス部に今年配属された新入社員に対する研修を兼ねており、IoTペンテストサービスで実施するようなファームウェア解析を含む複合的な調査を実施しました。

その結果、複数の問題点が見つかり、テレワーク環境の安全性を管理する観点で、注意しなくてはならないことがわかりました。以下にその詳細を解説したいと思います。

• 管理者ユーザーID、パスワードの設定に問題点
• その他の発見された問題点
• まとめ

管理者ユーザーID、パスワードの設定に問題点

今回の調査対象となった機器では、管理画面にアクセスするためのユーザーID、パスワードの工場出荷時設定が簡単に推測可能なものになっており、購入後の初回設定で変更をしないまま利用した場合、無防備な状態になってしまいます。

また、デフォルトでLAN側にSSHをログイン可能な状態で開放している機種もありました。さらにWi-Fiのセキュリティが未設定である機種、同一機種で共通のパスワードを使用しているケースがありました。

近年では、こうしたWi-Fiルーターを含むIoT機器を狙った"Mirai"などのマルウェアが猛威をふるっていますが、これらは主にTelnet・SSHを使用してターゲット機器への侵入・制御を試みる特徴があります。そして、適切な権限・ユーザー設定がされていないことの多いWi-FiルーターやIoT機器が、マルウェアによって乗っ取られ制御を奪われることになります。

実際、今回調査をした機器にも電源を投入し起動した直後、SSHで接続するだけでroot権限を得られたものがありました。

対策方法は？

新たなWi-Fiルーターの購入、設置時には、
使用開始前に必ず管理者パスワードの変更とセキュリティ設定をオフラインの状態で行う
ことが重要です。

集合住宅などで多く見られるインターネットへの接続形態（DHCPによりIPアドレスが配布される環境）では、購入したWi-Fiルーターを箱から出して配線するだけでも、インターネットへ接続可能となってしまうことがあります。管理者IDやパスワードを思いつかず、変更作業をついつい先延ばししてしまうこともあるでしょう。また、パスワード以外にも適切なセキュリティ設定を行えていない可能性があるので、今一度設定の再確認を行うことを推奨します。

次に
パスワードは使いまわしせず、できるだけ長く複雑なパスワードを設定する
ことも大切です。

もう当たり前のことではありますが、強力なパスワードを作るポイントを以下に記載します。

強力なパスワードの設定については、IPA（独立行政法人 情報処理推進機構）が公表している対策方法も参考になります。

チョコっとプラスパスワード｜IPA 独立行政法人 情報処理推進機構

しかし、機器によっては使える文字種に制限がある場合もあります。Web管理画面上の段階で使用できる文字種や文字数が極端に少ない場合（アルファベット英数字のみなど）は、その機器の利用をやめることも選択肢です。このようなセキュリティ面が不十分な仕様の機器の内部では、脆弱な仕様を持つソフトウェアが動作している可能性が高いと推測されるからです。

その他の発見された問題点

前項の工場出荷時の設定以外にも問題点が発見されています。以下の表はその具体例です。

問題の種類	内容
工場出荷時の設定	Wi-Fiのセキュリティ設定が未設定
	Wi-Fiの初期パスワードが機種間で共通
	管理者パスワードが設定されるまでの間、機器のrootパスワードが未設定
	管理者パスワードが設定されるまでの間も、LAN側でSSHが利用可能
搭載された機能	遠隔管理機能をONにするとWAN側からWeb管理画面が閲覧可能 ※ 今回調査ではデフォルトOFF
	LAN側でSSHが利用可能（設定でOFF可能）
ファームウェアの仕様	LAN側でSSHに利用されるポートが開放されている（設定項目なし・パスワードでのログインは不可）
	古いモジュールが利用されている
	パスワードのハッシュ形式（保存仕様）に脆弱性の指摘があり非推奨となっている形式を用いている
	開発時のAPIが残存している
基板	デバッグ用の物理的なポート（シリアルコンソール）が残されていて、ログイン可能

対策方法は？

こうした問題の多くは、管理画面に設定項目が用意されていないなどファームウェアの仕様に由来する場合もあり、ユーザー自身が対策することが難しく、一般にはソフトウェアアップデートによって改善、修正されます。

お手持ちの製品そしてこれから設置予定の製品にアップデートが提供されている場合、迅速に適用することを推奨します。また、ファームウェアの更新はROMの書き換えを行うものであるため、一定のリスク（書き換え失敗による故障など）を伴います。メーカーのサポート、修理体制なども、機器を選定する際に重要です。

格安で販売される機器の場合、コスト削減のためメーカーからソフトウェアアップデートが全く提供されない場合もあります。脆弱性の発覚とアップデートの提供までに時間差が生じ、この間に攻撃を受けてしまい被害が出ている事例もあります。過去のファームウェアアップデートの実績のあるメーカー、機器を選んで購入することも大切です。

また、今回発見された問題の中には、ユーザーの設定により対処が可能なものもあります。

一部機種に搭載されている「遠隔管理の機能」（WAN側からWeb管理画面が見られる機能）や「USBポートを利用したファイルサーバ機能」などがその例です。これらの機能は、家庭内の利用ではとても便利ですが、よく脆弱性が発見される部分でもあります。テレワーク時のリスクを小さくするという観点からはこれらの機能はOFFにし、利用しないほうが良いでしょう。

また、パスワードの保存仕様が脆弱である場合でも、できるだけ長く複雑なパスワードを設定のうえ、前述のような攻撃の的として利用されやすい機能をOFFにすることで、決して万全とは言えませんが、リスクを軽減することは可能と考えられます。

まとめ

今回の格安高機能Wi-Fiルーターの実機調査の結果を踏まえ、テレワークの業務環境として利用することを考えると、工場出荷状態からのパスワード再設定もさることながら、製品発売後に適切なサポートやアップデートなどの対応を実施しているメーカーの製品を購入することが同じレベルで重要だといえます。ただし、事前に十分な情報を得るのが困難な場合もあります。その様なケースも考え、テレワークで利用するパソコン端末の対策も併せて強化することが大切です。

OSやアプリケーションソフトウェアのアップデート、ウイルス対策ソフトの導入や定義ファイルの定期的な更新は言うに及ばず、適切なファイアウォールの設定も必要です。環境によっては、テレワークに伴い、こうした設定の変更が行われているケースがあるため注意しましょう。

また、エンドツーエンドの暗号化を行うことも対策の基本的な要素となります。VPNは多くの企業でリモートワークを実現するうえでも使われているソリューションの一つですが、すでに報道で指摘されているように、機器の設定やソフトウェアに問題を抱えたまま運用することは大変危険です。他のソリューションと組み合わせたうえで、適切な設定・運用の下で利用される必要があります。エンドポイントのセキュリティを強化できるEDRの導入なども、有効なセキュリティ対策の一つとして挙げられますので、ぜひ検討ください。

テレワークが増加した現在、拠点に設置された端末や従業員が利用する端末そのものだけでなく、従業員が自宅で利用するネットワーク環境についても念頭に置いた複合的な対策が必要だといえます。

Wi-Fiルーターなどの機器は個人の所有物ということもあり、直接の対策は難しい面もありますが、テレワークで自分自身を情報漏えい事故などの被害から守るために必要なこととして、従業員への注意喚起の中に盛り込んで頂きたいと思います。