ESET/マルウェア情報局
ルーターは5つの方法で安全性を高めろ
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された「ルーターの安全性を高める5つの方法」を再編集したものです
今日のサイバーセキュリティでは、これまで以上に多くの(そして質的にも相応の)保護対策が必要である。そのような措置としては、「ベストプラクティス」(最も効率よく効果が得られる手法)として周知されていることを取り入れることに始まり、エンドユーザーが間近にある脅威とその回避方法について十分な情報を得られるようにすること、さらには、インターネットセキュリティ対策を実装し、常に最新の状態を保つよう心掛けることに至るまで、多岐にわたる。
脅威は絶え間なく進化している。毎日のように新しい脆弱性が発見される。そうした激動する状況においては、常に最新の攻撃手法に対抗する保護を得るために、最新のセキュリティツールを使用する必要がある。
セキュリティは、職場、学校、家庭など、環境のいかんにかかわらず、あり得るさまざまな攻撃の入り口になる恐れのあるすべての要素を考慮して対策を行う必要がある。以下では、ホームネットワーク、特にインターネットに接続されたルーターの設定に関連するセキュリティの側面について検討する。
1.ルーターの接続・認証テストの実施
ESETのブログでは、家庭用ルーターの安全性を高め、IoTに由来する脅威から身を守る方法についての情報を公開している。ここでは、その他の重要な点である、ルーターの管理と構成、特にポートとサービスに関する手順について検討する。
ルーターを使用することによって、ローカルネットワーク内のいくつかのポートを使用して設定の変更や管理を行うことが可能となる。これは、イーサネットケーブルまたは無線接続を介して行うことができる。通常は、Web経由でルーターを設定できるが、ルーターはまた、FTP(ポート21)、SSH(22)、Telnet(23)、HTTP(80)、HTTPS(443)、SMB(139、445)といったほかのサービスやポートの接続の許可も行う。
こうした機能に加え、よく知られ、よく使用されるさまざまなサービスがある。まず、上記の既定ポートは、インターネットに関わる番号を管理する組織である「IANA」(Internet Assigned Numbers Authority)によって定義されたインターネット標準として確立されている。デフォルトで、ルーターにブロックされたポートが設定されていることもあるが、ステータスと設定を変えることができる。つまり、必要なサービスだけを有効にする一方で他のサービスを無効にし、未使用のポートをブロックしておくことが可能である。リモート接続の場合でも同様である。
サービス管理のためのパスワードの使用にも同じロジックが適用されている。「admin」のパスワードとユーザー名の両方をデフォルトの設定から変更することがお勧めだ。もしもデフォルトで設定されたルーターのパスワードを変更していない場合には、簡単に攻撃者に推測されてしまうだろう。その場合、ルーターにログインした上にパスワードを再設定されて、ネットワークへ侵入される恐れがある。
また、パスワードを長くして複雑にするか、「パスフレーズ」を使用することをお勧めする。ほかには、パスワードマネージャーを使用すると、パスワードを安全に作成し保存できる。以上、サービスとポートの設定、ユーザーアカウントとパスワードの強度を確認することが重要となる。
2.ルーター上で脆弱性テストを実行する
ルーター設定の弱点を探す際に考慮すべき別の側面がある。ルーターのテストは、既知の脆弱性を探すといったタスクを自動化するツールを使用して実行できる。この種のツールには、これらの問題を解決するための情報、オプション、および提案が含まれている。実は、攻撃者もこうしたツールを使ってルーターの脆弱性を調べている。そのためテストツールをユーザー側が使用するのは、理にかなっているのである。
ルーターテストツールの中には、ポートの脆弱性、不正なDNSサーバーかどうかの判定、デフォルトのままのパスワード、または簡単にクラック可能なパスワードの使用、脆弱なファームウェア、マルウェア攻撃のスキャンなどが含まれている。さらには「クロスサイトスクリプティング」(XSS)「コードインジェクション」または「リモートコード実行」などの問題を探して、ルーターのWebサーバーの脆弱性分析を含む場合もある。
これらの攻撃や侵害について内容が不明瞭な場合は、できるだけ厳しいルーターテストツール(またはテストのグループ)を見つけてほしい。完璧ではないがESET製品に付属しているツール「ホームネットワーク保護」から始めてみるのも選択肢の1つである。
3.ネットワーク内に接続されているデバイスの確認
ルーターおよびネットワークの適切な機能と性能を維持するための第3のポイントは、接続されたデバイスの識別である。適切でない運用を続け、脆弱なプロトコルを使っていると、知らない間に信頼できないデバイスが接続されていたり、信頼できるデバイスであっても適切な許可なしで接続されていることもある。
したがって、ルーターに接続するすべてのデバイスを認識するとともに、しっかりと特定できるようにしておくことをお勧めする。第1に、かなり違法性が高く、かつ、ネットワークのパフォーマンスを低下させるようなサードパーティー製品によるリソースの消費は、避けることである。第2に、セキュリティ対策として、個人情報が侵害されるのを防ぐことである。
この検証は、自動化されたツールで行われる場合もあれば、ルーターの管理オプションを使用して手動で行われる場合もある。しかし、いずれであっても対策として適切なのは、フィルターを使用して特定のIPアドレスまたはMACアドレスだけにアクセスを制限することによって、許可されたデバイスのみを承認することである。
こうした対策は、前述したESETの「ホームネットワーク保護」機能を使用して、デバイスの種類(プリンター、ルーター、モバイルデバイスなど)に分類された接続済みデバイスのリストを表示させることから始めると良いだろう。これによって、ホームネットワークに接続されているデバイスがわかるからである。
4.ホームネットワーク上のすべてのデバイスの更新
Wi-Fiネットワーク内のアクセスポイントに接続するデバイス間のトラフィックを傍受できてしまう「クラック」(KRACK、 Key Reinstallation AttaCK)という脆弱性が発見され、アップデートの重要性が再び強調されている。
この脆弱性を悪用して攻撃する場合、犯行者は、被害者のWi-Fiネットワークの近くにいる必要がある。成功すれば、攻撃者は通信を傍受したり、マルウェアをインストールできる。製造元がこの脆弱性に対処するセキュリティパッチを公開していれば、ネットワークに接続されたすべてのデバイス(コンピューター、スマートフォン、タブレットなど)を更新することをお勧めする。パッチが利用可能になったら、直ちにルーターのファームウェアのアップデートも行ってしてほしい。
「パブリックネットワーク」モードにコンピューターを設定している場合、信頼できるデバイス間での攻撃のリスクが軽減されるため、「プライベート/ホーム」ネットワークモードに比べてデバイスのセキュリティレベルが向上する。しかし、そうであっても、コンピューターとデバイスは常に最新の状態に保つべきである。
5.セキュリティオプションを有効にする
第5の望ましい習慣は、ルーターの設定にある利用可能なセキュリティオプションを有効にすることである。これは、デバイスのモデルおよびタイプによって内容や名称が異なる。家庭用ネットワークで使用されるルーターのモデルにかかわらず、デバイスとネットワークの保護を強化するように設計されたセキュリティオプションを有効にすることをお勧めする。
例えば、最近のルーターの中には、「SYNフラッディング」「ICMPエコー」「ICMPリダイレクション」「LAND(LAN Denial)」「Smurf」「WinNuke」など、既知のDoS攻撃に対する保護を強化する設定オプションが含まれている場合もある。ただし、これらのオプションを有効にすると、ルーターとネットワークが正常に動作しなくなることもある。
情報保護――終わりのない仕事
以上、セキュリティレベルを向上させる5つの習慣に簡単に触れた。ルーターの設定を見直し、必要であれば変更を行い、ネットワーク、ルーター、デバイス、そしてデータの全体的な保護に寄与することが重要である。そうすることで、現在流行しているサイバーセキュリティの脅威が狙う弱点の多くを防ぐことが可能だからである。