警視庁も家庭用ルーターの不正利用に注意喚起
誰しもが、スマートフォンやPCでインターネットにつないでいる時代。家庭にルーターがある環境も当たり前になっただろう。とくにコロナ禍以降、自宅のルーターを介してネットに接続し、業務にあたる人も多いはずだ。
しかし、そのルーターを第三者に不正利用され、踏み台にされてしまうサイバー犯罪もある。その被害にあってしまうと、業務上の機密情報を保存した端末を自宅のネットワークに接続することで、情報漏洩が発生するリスクも考えられる。
警視庁のサイバー攻撃対策センターは、家庭用ルーターの不正利用に関する注意喚起を発表している(家庭用ルーターの不正利用に関する注意喚起について)。
これによると、一般家庭で利用されているルーターをサイバー攻撃者が外部から不正に操作して、搭載機能を有効化するという例があるという。一度設定を変更されると、従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態となってしまうとのこと。
それを防ぐために、どのような対策が推奨されているのか。
1つ目は、ルーターのパスワードを初期設定のものから変更することだ。初期状態の場合、ルーターのパスワードは「password」などの単純な文字列になっていることもある。警視庁は英大文字、英小文字、数字、記号を含めた複雑なものに変更することを推奨している。
2つ目は、ルーターのファームウェアを最新の状態にすること。バグなどによる問題が発生した場合、メーカーなどはすぐに対応し、アップデートやパッチなどをリリースすることが多い。そのため、ファームウェアを最新のものにしておくことは、リスクを未然に防ぐ有用な手段だ。
3つ目は買い替え。サポートが終了したルーターは買い替えを検討するというもの。メーカーのサポートが終了したルーターは、ルーターの問題を改善するためのファームウェアの更新がされず、セキュリティリスクが高まるためだ。
見覚えのない設定変更がなされていないか
定期的に確認することも重要
4つ目は、ここまでの3つと比べると、すこしだけ複雑だ。「見覚えのない設定変更がなされていないか定期的に確認する」こと。具体的には、ルーターの管理画面で次の事項を定期的に確認し、問題があった場合には、その都度是正するようにとしている。
・見覚えのない「VPN機能設定」や「DDNS機能設定」、「インターネット(外部)からルーターの管理画面への接続設定」の有効化がされていないか確認する。
・VPN機能設定に見覚えのないVPNアカウントが追加されていないか確認する。
・見覚えのない設定があった場合、ルーターを初期化し、ファームウェアを最新のものに更新した上、ルーターのパスワードを複雑なものに変更する。
以上の4つの対策は、家庭用ルーターを利用しているなら、しっかりやっておきたいことだ。目に見えない「無線」で利用する機会が多いものであるため、サイバー犯罪の被害にあっても、すぐには気づきにくい。意外と見過ごしがちだからこそ、日頃からの対策が肝心といえる。
家庭でのセキュリティで、気をつけたいのはルーターだけではない。生活の中でネットを使うことが増えてくれば、個人情報の取り扱いや、プライバシーを守る意識なども重要だ。さまざまなウェブサービスを利用するならば、個人情報を入力する機会も増える。
まず、セキュリティ ソフトウェアを使用し、デバイスや個人情報を保護するのは基本。ソフトウェアをアップデートし、最新の状態に保つのも大切だ。
ルーターだけでなく、各サービスやSNSのパスワードも、単純なものはNGだ。パスワードやSMSコード、パスワードや指紋認証など、異なる認証要素の2つを組み合わせる二要素認証に対応しているサービスも多いので、あわせて設定しておきたい。
インターネットにつながる機器が家の中に増えれば、同一のネットワーク内でマルウェア(悪意のあるソフトウェア)が感染していく可能性もある。ルーターのセキュリティには、以前にも増して注意しておこう。
今回は、McAfee Blogの「オンライン上で安全を保つための10のヒント」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
オンライン上で安全を保つための10のヒント:McAfee Blog
1. 複雑なパスワードを設定する個人情報や金融情報を安全に保つためには、まず重要なアカウントに対して強力なパスワードを設定することが一番の方法であるということは以前からよく言われてます。これは1度のデータ侵害で、何万ものユーザーパスワードが外部に漏れてしまうといった企業のハッキングが拡大している現代には、必要不可欠なルールといっても過言ではないでしょう。もし、SNSやオンライン銀行口座など、インターネット上の様々なサイトでパスワードを使い回していると、ハッカーはたった1つのSNSなどへの攻撃で流出したログイン情報データ等を利用し、他のサービスにもログインしてしまいます。そうならないためには、パスワードマネージャーを使って、すべてのアカウントに強力なパスワードを作成し、保存することをお勧めします。
また、それぞれのオンラインアカウントに多要素認証機能が備わっているかどうかを確認しましょう。これは、本人確認の際に複数の情報を必要とする機能です。例えば、あるアカウントにログインする際、パスワードやパスフレーズに加えて、携帯電話に送信されるコードを入力する必要がある場合など、通常のパスワードを1回のみ入力するログイン方法よりも、よりセキュリティが厳重になっています。
2. ネットワークセキュリティの強化ログインの安全性が向上したら、接続の安全性を確認しましょう。おそらく自宅や職場ではデータを暗号化するパスワード保護されたルーターを使っていることと思います。しかし、外出先では、公共の無料Wi-Fiを利用したくなるかもしれません。しかし、公共のWi-Fiの問題点は、その多くがセキュリティの確保がされていないことです。つまり、ハッカーが比較的簡単にあなたのデバイスにアクセスし、情報を盗むことができてしまいます。その解決策として、VPN(Virtual Private Network)を使用することを検討してみてはいかがでしょうか。VPNとは、インターネット上に安全な接続を構築するソフトウェアで、どこからでも安全に接続することができます。
3. ファイアウォールの使用ネットワークが安全になった場合でも、より安全を確保するためにはファイアウォールを使用する必要があります。ファイアウォールとは、コンピュータやデバイスへの不正アクセスを防ぐための電子バリアで、しばしば包括的なセキュリティ対策ソフトに付属されています。ファイアウォールを使用すると、スマートサーモスタットやWebカメラのようなIoT(Internet of Things)デバイス含め、ネットワークに接続されているすべてのデバイスのセキュリティが確保されます。しかし、多くのIoTデバイスには、セキュリティ対策が搭載されていないため、ハッカーがネットワーク全体に侵入するための脆弱なポイントとなってしまうという点は注意が必要です。
4. クリックする際は慎重に高性能な技術的対策を実践した後は、不用意なクリックをして危険を招かないように気をつけましょう。今日のオンライン上には、フィッシングやソーシャルエンジニアリングを中心に多くの危険があります。ソーシャルエンジニアリングとはネットワークに侵入するために必要となるパスワードなどの重要な情報を盗み出す方法です。これらは明らかに詐欺目的のために、個人情報や機密情報を騙し取るものばかりです。スパムメール、「無料」と書かれた偽のサービスや商品、釣りタイトル、オンラインクイズなどこれらはすべて、危険なリンクをクリックさせるために誘導し、個人情報を盗むための手法です。仮にあまりにも条件が良すぎるサービスや、常識を超える範囲で多くの個人情報を求められた場合には注意してください。
5. 共有する前に考える最近ではオンラインやソーシャルメディアで個人が様々な情報を共有する機会が多いです。しかし、その中でも特に個人情報に関しては、共有する内容に注意するようにしましょう。そういった情報は、犯罪者があなたになりすましたり、パスワードやセキュリティ質問、ログイン情報を推測するために利用される可能性があるからです。
6. モバイルライフを守るモバイル機器はノートパソコンと同様に、オンライン上で危険にさらされる可能性があります。実際、タブレットや携帯電話は、危険なアプリやテキストメッセージで送られてくるリンクのような新たな危険に直面しています。クリックする際には細心の注意を払い、見知らぬ人からのメッセージは反応せずに無視してください。アプリを使用する際はまず、他のユーザーたちのレビューを読んで信頼性があるかどうかを確認し、ダウンロードする場合は必ず公式アプリストアから行ないましょう。また、すべてのデバイスでセキュリティ対策ソフトが有効になっていることを確認しましょう。
7 .安全にネットサーフィンとショッピングをするためにオンラインショッピングをする時、クレジットカードや金融情報を入力する時、オンライン銀行やその他の機密性のある取引を行なうウェブサイトにアクセスする時は、必ずウェブサイトのアドレスを確認してください。アドレスは「http」ではなく、sがついた「https」で始まり、URL欄には南京錠のアイコンが表示されているかどうか確認しましょう。これはそのウェブサイトが安全かつ、個人情報を狙う泥棒が傍受できないようにデータを暗号化しているということを示しています。また、アドレスにスペルミスや文法的な間違いがあるウェブサイトは注意しましょう。これはこのウェブサイトを訪れた人を騙して情報を盗むために正規のウェブサイトを模倣している偽のウェブサイトの可能性があります。McAfee WebAdvisorなどの安全な検索ツールを使って、危険なサイトを避けるようにしましょう。
8. 常に最新の状態を保つすべてのソフトウェアを更新して、セキュリティの欠陥を修正するプログラムであるセキュリティパッチの最新版を常に入手しておきましょう。コンピュータ、タブレット、携帯電話内のアプリやセキュリティ対策ソフトのアップデートを手動設定にしていると、ついつい更新するのを忘れがちになります。各デバイスが危険に遭わないためにも自動アップデートを有効にして、セキュリティ対策ソフトが定期的にスキャンを行うように設定しましょう。
9. 最新の詐欺には注意インターネット上にある詐欺やサイバー犯罪などの手口は常に進化し続けています。どんなことに注意しておくべきかを確認しておきましょう。現在、被害が増加傾向にあるのは「ランサムウェア」です。これはハッカーが会社のコンピュータに侵入し、ロックをかけて一時的に使用できなくさせ、多額の身代金を払わないとすべてを使えなくすると脅迫してくるという手口です。もし情報を盗まれた場合、このような大事件が起こりえるということを常に頭に入れておきましょう。
10. 警戒を高めるオンライン上での行動、閲覧するウェブサイト、SNSで共有する内容には常に細心の注意を払いましょう。包括的なセキュリティソフトを使用し、もし何かあったときのためにデータのバックアップを定期的に取るようにしましょう。また、インターネットを安全に使用するためにいくつかの基本的なルールを守るなど、前もって対策を講じることで、個人情報の盗難やマルウェアから身を守り、個人情報や財務情報を安全に保つことができるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト