No301 ネットワーク機器という脆弱性

小さなオフィスであっても、ハブやルータといったネットワーク機器は必ずと言っていいほど設置されています。

家庭でも複数のPCを所持しているおうちなら、ハブやルータは身近な機器と言えます。

ですが、こういったネットワーク機器が組織に脆弱性をもたらす場合があります。


1. ネットワーク機器

小さなオフィスでもインターネットが使えるのはごく普通です。
ですが、インターネットが使えるということは、外部からの攻撃もまたごく普通に発生しています。

最近では、中小企業でもパソコン（PC）のWindowsUpdateやマルウェア対策は以前よりも進んできていますので、以前に比べて攻撃が成功しにくくなってきています。

こうなると、攻撃側はよりセキュリティ対策が甘いターゲットを探します。
そこで目が付けらたのがネットワーク機器です。

ネットワーク機器は一度設置されると、その後は何もしなくても寡黙に働き続けてくれるものが大半です。
だから、IDやパスワードが購入時のまま、定期的なメンテナンスもしていない、という運用がまかり通っています。

ですが、ネットワーク機器も内部構造はPCと何ら違わない立派なコンピュータです。PCと同様に脆弱性が見つかることもしばしばです。

このような放置状態のネットワーク機器は攻撃側にとってはおいしいターゲットです。


2. ルータ

通常、ルータという機器はインターネットと内部ネットワーク（LAN）を切り分ける役割を担っています。

余談：
　ルータ(router)は本莱的にはルーティング（routing）を行う機器です。
　ルーティングは、通信する時にどのルートを使うかを判断するルールのことです。
　組織内部への通信はインターネットに流さない、逆にインターネットからの不審な通信は内部に流さない、ことがルータの最重要な仕事です。
　家庭用や小規模オフィス用ルータには便利機能がたくさん載っていますが、一番重要な役割はルーティングにあります。

通常、ルータはインターネットからの通信を受け取れるように設置されます。
ルータはインターネットと直接通信ができます。言い換えると直接攻撃を受けるポジションにある機器と言えます。

そのため、ルータは攻撃を受けても大丈夫にしなければなりません。

・インターネットからの不審な通信はシャットアウトする
・インターネット側からルータの設定を見ることができないようにしておく。
・ルータの管理者パスワードは変更しておく
・機器のファームウェア（プログラムのこと）は最新にしておく
・その機器がサービス終了となっていないか？

現在販売されている家庭用ルータはおおむね安全な設定にして販売されています。
一方、業務用ルータや以前に導入した製品については、定期的な確認が必要です。

以下では、確認すべきポイントについて述べます。


3. 不審な通信のシャットアウト

大半の家庭用ルータでは、不審な通信をシャットアウトするように設定されていますのであまり気に病む必要はありません。
むしろ、「生兵法は大けがの元」ですので、シャットアウトしようとしている通信手順をよく知らない状態で設定変更する方が危険です。

気になるのであれば、メーカのサポート窓口で確認をすることをおすすめします。

一方、業務用ルータにはこういった便利機能はあまり充実していません。
というのは、業務用ルータは家庭用よりずっと自由度が高く、巾広い設定が行えるようになっているためです。ですので、業務用ルータの設置はプロ（ネットワーク専業の業者）に依頼することが前提となっています。

業務用ルータでは「既に不審な通信はシャットアウトできてる」前提で良いのですが、念のため、年に一度のメンテナンス依頼（設定の確認）は有用です。


4. ルータ設定の閲覧

ルータの設定を勝手に変更できちゃうと、マズいのは明らかです。
いくらガチガチのルールでも、設定変更されればユルユルにできてしまいます。

そのため、ルータの設定変更は内部からしか行えないようにしておく方が安全です。

内部からしか見られないことによるデメリットは、その機器を設定した業者であってもリモートで確認できなくなる点です。
つまり、何かトラブルが起きた時には、実際にオフィスまで来てもらわなければならなくなります。

ですが、ルータのトラブルはそれほど起きません。
外部からルータの設定変更ができるリスクはリモートメンテナンスによるメリットよりもずっと深刻です。

業者がリモートメンテによる利便性（メンテナンス費用も抑えられる）を訴えたとしても、断るべきだと筆者は考えます。

なお、ルータの設定を見るためには、IDとパスワードが必要となります。
これについても、以前（2018年以前）はID＝admin、パスワード＝passwordなどのように固定でしたが、ここ数年の家庭用ルータは機器毎に異なるパスワードとなっているようです。

業務用ルータの場合は、セットアップを行った業者に確認をし、もし空欄やデフォルト値のままであれば、すぐに再設定するように依頼をしてください。

これは筆者の持論ですが、ネットワーク機器のIDやパスワードのExcel表をファイルサーバに保管することはオススメしません。
むしろ、手書きのメモを機器に貼り付けてください。

こちらをオススメする理由は２つあります。
　1. ネットワーク機器は、目に触れない場所に設置されるため、メモを盗み見されない。
　2. 不正侵入されるとファイルサーバの情報は盗まれるが、メモは盗みようがない。


5. 機器の最新化

ネットワーク機器は見た目はまるで違いますが、内部構造はパソコン（PC）とさほど変わりません。
つまり、PCと同様に脆弱性が見つかることがあるということです。

ですので、メーカのホームページ（Webサイト）で定期的にプログラム更新がないか確認をしておくべきです。

余談
　ネットワーク機器もコンピュータですから、プログラムが必要です。
　こういった機器のプログラムは「ファームウェア」と呼ばれます。
　工場（ファーム）でセットアップするから、そう呼ぶようですね。

全ての機器の確認を行うのがベストなのは当然ですが、最低でもルータの少なくともインターネットとつながっている機器については、月に一度は確認をしたいものです。

また、同時にその機器がサポート終了（ファームウェア更新を終了すること）となっていないかどうかも確認しておきます。
メーカによって、サポート終了を明示しないところもありますので、その場合はメーカサポートに確認します。

サポート終了となったからといってスグに危険というわけではありませんが、新しい機種への買替をすべき時期になったと考えるべきです。


6. 不必要な機能の無効化

最近のルータにはいろんな機能が搭載されています。

中には「今は使ってないけど、便利そうだからONにしよう」と思う機能もあることでしょう。

もちろん、実際に必要な機能であれば、それはそれで良いのですが、その時は使うつもりだったけれど実際には使っていない、というパターンがあると危険です。

例えば、VPN機能やDDNS（ダイナミックDNS。サーバ公開したい時などに便利）機能などは魅力的な機能ですが、そのための通信のルート開けたままにしておくと悪用される可能性があります。

実際にその機能を使っていれば、「知らないうちにアカウントができていた」などと気付く可能性がありますが、使っていなければ（それどころか有効にしたことすら忘れていたら）知らないうちに侵入のためのルートを開いていたということになりかねません。

ルータを買ってきて、いろんな機能にワクワクするのは良いのですが、新機能を無条件にONにすることは非常に危険です。

本当に使う時になってから有効にしたっていいはずです。

ルータというのは、インターネットの世界とつながる入り口です。
「必要最低限以外は極力通信のルートを閉じる」を基本とし、それを開ける時には十分に勉強して知識を身に付けておく必要があります。



7. まとめ

ルータというネットワーク機器があります。

ネットワーク機器は設置してしまうと、あること自体が忘れ去られてしまいます。

そのため、ネットワーク機器のメンテナンスというのは放置されることになりがちです。
そのスキを狙った攻撃がこのところ増えているようです。

狙われるポイントは次の通りです。
　A. 特定機種に対する脆弱性攻撃
　B. サポート終了機種への脆弱性攻撃
　C. 攻撃側による設定変更を許すIDやパスワード
　D. 不必要な通信機能(VPNなど)への攻撃

それぞれの対策は次のようになります。

　A. 特定機種に対する脆弱性攻撃
　　→最新のファームウェアに更新する

　B. サポート終了機種への脆弱性攻撃
　　→新機種への買替

　C. 攻撃側による設定変更を許すIDやパスワード
　　→ID/パスワードを変更し、それを機器に貼る。
　　　
　D. 不必要な通信機能(VPNなど)への攻撃
　　→必要かどうかわからない機能はOFFにする。

ルータというのはインターネットに直結している機器です。
こちらが穴のある設定をすれば、攻撃側はそれを突いてきます。
こちらがよくわかってないからといって、手を緩めてはくれません。

ことルータについては、よくわかってない機能は無効にするのが正解です。

今回はネットワーク機器でも特にルータの取り扱いについて解説をしました。

次回もお楽しみに

（本稿は 2023年3月に作成しました）

"