ESET/マルウェア情報局
家庭用ルーター100製品以上に脆弱性が発見される
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「100種類以上の家庭用ルーターに既知の重大な脆弱性が見つかる」を再編集したものです。
大手ベンダーを含む7社が提供している100種類を超える家庭用ルーターに実施された最新の調査結果によると、ほぼすべてのルーターにパッチが適切に適用されておらず、深刻なセキュリティ欠陥の影響を受ける恐れがあり、デバイスとそのユーザーをサイバー攻撃のリスクにさらしていることが明らかになりました。
「Home Router Security Report 2020(ホームルーターセキュリティレポート2020年版)」というタイトルのこの調査レポートは、「すべてのルーターで既知の重大な脆弱性が見つかった」ことを報告しています。この調査は、ドイツのフラウンホーファー研究機構の通信・情報処理・人間工学研究所(FKIE)によって、ASUS、AVM、D-Link、Linksys、Netgear、TP-Link、およびZyxelの127種のルーターモデルを対象に実施されました。
「多くのルーターは、何百もの既知の脆弱性の影響を受けています。これらのルーターに最新のアップデートが適用された場合でも、これらの既知の脆弱性の多くは修正されないままとなっています。問題をさらに悪化させているのは、エクスプロイトの影響を緩和するための技術がほとんど使用されていないことです」と、今回の調査を実施した研究者は述べています。これらの研究者らが、前にアップデートが適用されてから経過した平均期間を集計したところ、378日になりました。46台のルーターは、直近の1年間にセキュリティアップデートを受信していませんでした。
これらのルーターは、平均で53件の緊急レベルの脆弱性の影響を受けることが判明しました。上位に入らなかったデバイスであっても、そのような緊急レベルの21件のCVEの影響を受けます。ただし、詳細な脆弱性については掲載されていませんでした。
いずれにせよ、まずは脆弱性にパッチが適用されなければ、これらの問題が解決されることはありません。「一部のルーターは簡単にハッキングが可能であり、誰でも思いつくような簡単なパスワードが、ユーザーが変更できない形で使用されている場合もある」と、この調査では報告されています。具体的には、50台のルーターで管理者の認証情報がハードコーディングされており、そのうちの16台では一般的、つまり推測しやすいログイン認証情報が使用されていました。
関連資料:「At least 15% of home routers are unsecured(少なくとも15%のホームルーターでは十分なセキュリティ対策が講じられていない)」(英語のみ)
この調査では、一部のルーターモデルは他のルーターモデルよりもセキュリティが高いと評価されていますが、そのように評価されたベンダーも手放しで喜べないでしょう。「AVMは、ほとんどの面で他のベンダーよりも優れており、ASUSとNetgearは、いくつかの点でD-Link、Linksys、TP-Link、Zyxelよりも優れています」と研究者は述べています。
90%のデバイスはLinuxが搭載されていましたが、多くの場合、Linuxオペレーティングシステムの古いバージョンのひとつが実行されていました。3分の1以上のルーターは、Linuxカーネルバージョン2.6.36を搭載しており、このバージョンが最後にアップデートを受け取ったのは2011年に遡ります。
「Linuxは、オペレーティングシステムにあるセキュリティの脆弱性を解消し、新しい機能を開発するために継続的な取り組みを行なっています。実際、すべてのメーカーが最新のソフトウェアをインストールしなければならないのですが、できる範囲でも、必要な範囲でも、最新のソフトウェアを統合していません」と本調査を共著したFKIEのサイバー攻撃分析と防御部門のJohannes vom Dorp氏は述べています。
この調査では、FKIEのファームウェア分析および比較ツール(FACT)を使用して、2020年3月27日時点で入手可能なデバイスの最新のファームウェアバージョンを検証しています。方法論と結果は、前述の調査報告書で詳しく説明されています。テストされたモデルと各モデルのファームウェアバージョンの詳細なリストは、GitHubで入手できます。
全体として、この調査結果は、昨年、Independent Security Evaluatorsが実施したテストや、2018年のAmerican Consumer Instituteによって実施された別の検査結果など、近年実施された他の調査による結果とそれほど大きく乖離していません。
その他の参考資料
ESETでは、この数年間、ルーターのセキュリティについて幅広く取り上げてきました。特にテレワークの時代においては、ルーターのセキュリティはこれまで以上に重要です。英語版WeLivesecurityでは、ルーターのセキュリティに関する記事をいくつか紹介しています。
・世界中の数十万台のルーターがVPNFilterマルウェアの被害を受けたという報告を受けて、FBIがすべてのルーターを再起動するように勧告
・前述記事の続きとなるフォローアップ記事