ゲッティイメージズ / deepblue4you
平均的なインターネットユーザーにとって、無線ルーターはコンセントに差し込んだら忘れてしまうもの。戻ってきても、底面のシールに貼られたWi-Fiパスワードをぎこちなく読み取ったり、インターネットがダウンした時にスイッチを入れたりするだけだ。「ほとんどのユーザーはルーターのことを気にしていない」と、アバストのセキュリティ研究者、マーティン・フロン氏は言う。「隅っこで埃をかぶっているだけのものなんだ。」
しかし、それが大きな問題を引き起こしています。多くのルーターは何年もアップデートされていないまま放置されており、セキュリティ上の欠陥が山積しており、ハッカーやマルウェアに簡単に侵入されてしまいます。アメリカ消費者協会が昨年行った調査によると、家庭用およびオフィス用ルーターの83%に、攻撃者に悪用される可能性のある脆弱性が存在します。これには、Linksys、NETGEAR、D-Linkといった有名ブランドも含まれます。
ルーターが侵害されると、分散型サービス拒否攻撃(DDoS)やクレデンシャルスタッフィング攻撃(ハッカーが特定のサイトのパスワードを入手し、ボットネットを利用して他の多くの場所で迅速に攻撃を仕掛ける攻撃)に利用される可能性があります。また、不正行為の発信元を隠すためにも利用されます。トラフィックは、実際の発信元ではなく、ランダムな住宅アドレスから送信されているように見せかけられます。光ファイバーブロードバンドの速度向上に伴い、一部のユーザーは、自分のルーターが他人のトラフィックを隠蔽したり、ビットコインマイニングに利用されていることに気付かないかもしれません。
家庭ユーザーにとって最大のリスクは、個人情報の盗難です。8月、ラドウェアのセキュリティ研究者は、ブラジルのD-Linkルーターに広がるエクスプロイトを発見しました。このエクスプロイトは最終的に10万台のデバイスに影響を与えました。この攻撃はブラジル銀行の顧客を標的としており、乗っ取られたルーターとDNSリダイレクトを利用して、銀行のウェブサイトのクローン版に誘導し、ログイン情報を盗み出しました。
「犯罪コミュニティは、レガシーファームウェアに潜む多くの脆弱性に気づき始めています」と、F-Secureのセキュリティアドバイザー、トム・ギャフニー氏は語る。サイバー犯罪者志望者がルーターメーカー名を入力するだけで、既知の脆弱性のリストに瞬時にアクセスできるオンラインデータベースが存在する。中には、脆弱性を悪用するために必要なコードまで記載されているものもある。
音声アシスタントやスマートドアベルなど、IoT(モノのインターネット)デバイスがルーターに接続されるケースが増えるにつれ、リスクは増大します。接続されたセキュリティカメラは堅牢な保護機能を備えているかもしれませんが、ルーターにそれがなければ、システム全体が脆弱になります。「まるで侵入されるようなものです」と、トレンドマイクロの主席セキュリティストラテジスト、バラト・ミストリー氏は言います。
Miraiなどの注目を集めた攻撃の多くは、セキュリティ対策が施されていないルーターやその他のIoTデバイスを悪用して大混乱を引き起こしており、既知の脆弱性も増加しています。「IoT特有の脅威(ルーターを含む)が初めて現れたのは2003年のことでした」とギャフニー氏は述べています。「その後、2015年までは何もありませんでしたが、2016年には5つの脅威ファミリーが特定されました。2018年には35の脅威ファミリーを分類しました。つまり、間違いなく爆発的な増加と言えるでしょう。」
これらには、ロシア政府が支援していると考えられ、世界中で50万台以上のルーターに感染したと推定されるVPNFilterなどのマルウェアが含まれます。また、接続されたデバイスをより簡単に検出・接続できるようにするユニバーサル・プラグ・アンド・プレイ(UPL)を悪用したエクスプロイトも存在します。2018年11月には、米国国家安全保障局(NSA)が開発し、その後インターネットに流出した、この技術の脆弱な実装を利用したエクスプロイトによって、4万5000台以上のルーターが被害を受けました。
「いくつかあります」とミストリー氏は言う。「ルーターは基本的に小型のマイクロコンピューターなので、そこに感染する可能性のあるものはすべてルーターを標的にする可能性があります」。共有ライブラリなどは脆弱だ。「ほとんどの開発者はライブラリを一から書くつもりはありませんし、公開リポジトリから取得することも可能です。そうなると問題は、誰かがライブラリを常に検証し、定期的にパッチが適用されていることを確認する必要があるということです」。ファームウェアが世に出回っている期間が長くなるほど、脆弱性は高まり、一部のルーターでは依然として非常に古いバージョンのLinuxが動作している。
しかし、最大の問題は、ほとんどの家庭ユーザーがそれほど技術に精通していないことです。Wi-Fiネットワーク自体と、それに関連付けられた管理者アカウントの両方で、デフォルトのパスワードを使い続けている人が多くいます。ブラジル銀行詐欺は、この脆弱性を利用した数多くの攻撃の一つです。
新しいルーターの設定が簡単すぎると考える人もいます。「以前は設定とパスワードの設定が必要でしたが、今はプラグを差し込むだけで使えます」とギャフニー氏は言います。フロン氏も同意見です。「デバイスが箱から出してすぐに使えるなら、通常はデフォルト設定のままです。」パスワードを自分で設定させるなど、設定手順にいくつかのステップを追加すれば、誰もがより安全に使えるようになります。
「ユーザーがデバイス上で何らかの設定を行うまで、インターネットを無効にしておくのが理にかなっている」と彼は主張する。一般的に、大手ISPが提供するルーターは、到着時に最新の状態にアップデートされており、デバイスごとに固有のパスワードが設定されている。しかし、オンラインで購入したルーター、特に安価なモデルは、脆弱性が高く、全員に同じパスワードが使用される可能性が高い。
それでも、古くなって脆弱なファームウェアの問題は解決しません。これは、平均的なインターネットユーザーにとって優先事項とは言えません。ベンダーやISPにも責任の一端があります。「最近まで、積極的なアップグレードポリシーを持っていたISPはほとんどありませんでした」とギャフニー氏は言います。
取材した研究者たちは、ISPはユーザーがルーターのファームウェアを常に最新の状態に保つためのより良い方法を見つける必要があると考えています。脆弱性が明らかになったとしても、実際にユーザーに影響を与えるまでには数ヶ月かかる場合があります。例えば、Mikrotik社のルーターに脆弱性が見つかった際、同社はすぐにパッチをリリースしましたが、同社のルーターは200万台以上が流通しており、多くのルーターが依然として脆弱な状態です。あるホワイトハットハッカーは、この問題の解決を自ら引き受け、10万台以上のルーターにリモートでパッチを適用しました。
ISPは、例えば定期的にメールでガイダンスやファームウェアのアップデート情報を提供するなど、ユーザーへの啓蒙活動をさらに強化できるはずです。しかし、そうすることでユーザーがフィッシング詐欺の被害に遭う可能性も否定できません。「ISPとベンダーは、もっと簡単に設定できるようにすべきだと思います」とミストリー氏は述べ、より細かく設定をコントロールしたい上級ユーザーにはオプションを提供し、それ以外のユーザーには自動的に無線でアップデートが配信されるような階層型システムを提案しています。例えば、AmazonのスマートスピーカーEchoは、ユーザーに事前に通知することなく、この方法でアップデートを受け取っています。
「使いやすさとセキュリティの間には常にトレードオフがあります」とギャフニー氏は言います。そして今、当社のプラグアンドプレイ ルーターはサイバー犯罪者の生活を楽にしてくれています。
この記事はWIRED UKで最初に公開されました。
