TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

ルーターのセキュリティを強化するために試してほしい5つの方法[更新]

この記事をシェア

自宅内のネットワークとインターネットの接点ともいえるルーターのセキュリティを確保することは安全なデジタルライフを送るためにも重要である。この記事では、そのルーターのセキュリティを強化するために試してもらいたい、「ポート・パスワードの設定」や「脆弱性診断の実行」など5つの方法を紹介する。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、2020年11月時点での日本向けの情報を加え、本文を再編集したものである。

ルーターの安全性を高める5つの方法

サイバーセキュリティ対策を講じるにあたり、最近は以前にも増して量・質ともにより強固な対策が求められている。効率的かつ効果的な「ベストプラクティス」を試すことに始まり、ユーザー自身の身に迫る脅威とその回避方法について十分な情報収集をすること、そして実際にインターネット向けのセキュリティ対策を施し、常に最新の状態を維持するよう心掛けることまで、幅広い対応が必要となっている。

恒常的に進化を遂げる脅威、日々発見される新たな脆弱性、激動する最新の攻撃手法に対抗するためには最新のセキュリティツールを使用すべきだと言える。

セキュリティ対策は、職場、学校、家庭などあらゆる環境において、考えられ得る攻撃の侵入経路と見込まれるすべての可能性を踏まえて講じる必要がある。以下、自宅内のネットワークにおいて要とも言える、ルーターの設定についてセキュリティを強化するための方法を5つ紹介していく。

1 適切なポート管理とパスワードの設定

ESETのブログでは、家庭用ルーターのセキュリティを強化し、IoTが関係する脅威から身を守る方法について情報を公開している。この記事ではブログで紹介した以外で重要な点である、ルーターの管理と構成、特にポートとプロトコルに関して言及していく。

ルーターを使用することによって、ローカルネットワーク内のいくつかのポートを使用した設定の変更や管理を行うことが可能となる。この場合、イーサネットケーブルまたは無線接続経由で行う。通常、ルーターはWeb経由で設定することができるが、FTP(ポート番号:21)、SSH(22)、Telnet(23)、HTTP(80)、HTTPS(443)、SMB(139、445)といったほかのプログラムサービスやポートへの接続も許可することには留意しておきたい。

先述の既定のポートだけでなく、広く知られ、使用頻度も高いさまざまなプロトコルが存在している。既定のポートはインターネットに関わる番号を管理する組織である「IANA」(Internet Assigned Numbers Authority)によって定義されており、インターネット標準として確立されている。これらの初期設定では、ルーターにブロックされたポートが設定されていることもあるものの、ステータスと設定を変更することも可能だ。すなわち、必要なプロトコルだけを有効にして、他のプロトコルを無効にし、未使用のポートをブロックすることができる。リモート接続の場合でも同様の対処が可能である。

プロトコルを管理するために利用するパスワードについても同じロジックを適用できる。「admin」のパスワードとユーザー名の双方を初期設定から変更しておくようにしたい。仮にルーターのパスワードを初期設定から変更していない場合、攻撃者は簡単にパスワードを推測できてしまう。攻撃者はパスワードを突き止めると、ルーターにログインしてネットワーク内へ侵入することにとどまらず、パスワードを変更する可能性も否定できない。

パスワードを変更する際には、複雑かつ長いものにするか、「パスフレーズ」を使用することを推奨する。パスワードマネージャーを使用することで、安全なパスワードを自動生成するだけでなく管理もできる。プロトコルとポートの設定、強固なユーザー名とパスワードに設定することが重要となる。

2 ルーター上で脆弱性テストを実行する

ルーターの設定について弱点を探し出す場合、ルーターのテストをするといった方法がある。このテストは既知の脆弱性を自動的に検出するツールを使用することで可能だ。この種のツールを使用すると、検出された問題を解決するための情報、オプション、および提案を提示してくれる。攻撃者はこうしたツールを用いてルーターの脆弱性を調べているため、ユーザーが使用して対策を講じるのは非常に合理的だと言える。

いくつかのルーターテストツールは、ポートの脆弱性、不正なDNSサーバーかどうかの判定、デフォルトもしくは推測されやすいパスワードが使用されているかの判別、脆弱なファームウェア、マルウェア攻撃のスキャンといったものまで調査するものもある。さらには「クロスサイトスクリプティング(XSS)」、「コードインジェクション」または「リモートコード実行」などの問題を検出、あるいはルーターのWebサーバーの脆弱性分析まで行うものもある。

これらの攻撃や危険性について詳しくない場合、可能な限り厳しくチェックを行うルーターテストツール(またはテストのグループ)を探して使用するようにしてほしい。ルーターのテストツールではないが、ESET製品に付属している「ホームネットワーク保護」機能を利用するのも一つの方法として検討の余地があるだろう。

3 ネットワーク内に接続されているデバイスの確認

ネットワーク内に接続されているデバイスの確認

ルーターおよびネットワークの適切な機能と性能を維持するためには、接続されたデバイスを明確に把握しておくことが重要である。脆弱なプロトコルを使用するなど、適切ではない運用を継続していると、勝手に信頼できないデバイスが接続されている、あるいは信頼できるデバイスであっても適切な許可なく接続されていることもある。

そのような事態を招かないためにも、ルーターに接続されているすべてのデバイスを掌握し、それぞれを特定できるようにしておかねばならない。サードパーティ製品の中には、過度にリソースを消費し不正な通信を行ってネットワークのパフォーマンスを低下させるようなものがある。また、個人情報の侵害などを防ぐセキュリティ対策としての意味合いもある。

この検証は、自動化されたツールを使用する、あるいはルーターの管理オプションを使用して手動で行うことになる。いずれにせよ、検証後にはフィルターを使用して特定のIPアドレス、またはMACアドレスのデバイスだけにアクセスを許可するように設定することが適切な対策となる。

前述の「ホームネットワーク保護」機能を使用すれば、デバイスの種類(プリンター、ルーター、モバイルデバイスなど)に分類された接続済みデバイスのリストを表示させることができる。リストに表示されたデバイスのうち、信頼できるデバイスのみにアクセスを制限するように設定を変更すれば、不審なデバイスは以降接続できなくなる。

4 ホームネットワーク上のすべてのデバイスの更新

Wi-Fiネットワーク内のアクセスポイントに接続するデバイス間のトラフィックを傍受し、「中間者攻撃」が可能となる「クラック」(KRACK、Key Reinstallation AttaCK:キーの再インストール攻撃)という脆弱性がWPA2において2017年に発見された。

この脆弱性を悪用して攻撃を行う場合、攻撃者はターゲットのWi-Fiネットワークの近くにいる必要がある。攻撃が成功すれば、攻撃者は通信の傍受、あるいはマルウェアのインストールが可能となる。この脆弱性に対処するセキュリティパッチは当時、早急に公開されたが、ネットワークに接続されたもので、まだ更新していないデバイス(コンピューター、スマートフォン、タブレットなど)があれば、速やかに更新すべきだろう。また、並行してルーターのファームウェアのアップデートも行うようにしてほしい。

パソコン上で接続しているネットワークを「パブリックネットワーク」モードに設定している場合、信頼できるデバイス間での攻撃のリスクが軽減されるため、「プライベート/ホームネットワーク」モードに比べてデバイスのセキュリティレベルは向上する。しかし、絶えず脆弱性は発見されるものであるため、コンピューターとデバイスは常に最新の状態を維持するように努めたい。

5 セキュリティオプションを有効にする

最後に紹介するのは、ルーターの設定にある利用可能なセキュリティオプションを有効にすることの重要性だ。これは、ルーターのモデルおよびタイプによって内容や名称が異なる。ルーターのモデルにかかわらず、デバイスとネットワークの保護を強化するように設計されたセキュリティオプションを有効にすることは、ネットワークの安全性を高めることにつながる。

例えば、最近のルーターの中には、「SYNフラッディング」、「ICMPエコー」、「ICMPリダイレクション」、「LAND(LAN Denial)」、「Smurf」、「WinNuke」といった既知のDoS攻撃に対する保護を強化する設定オプションが含まれている場合もある。ただし、これらのオプションを有効にすると、ルーターとネットワークが正常に動作しなくなる場合もあるので、設定する際は注意するようにしたい。

情報を保護していくことに終わりはない

ここまで、セキュリティレベルを向上させる5つの方法を簡単ながら紹介した。ルーターの設定は一度すれば終わりということではなく、必要に応じて随時変更していかなければならない。そうすることで、ネットワーク、ルーター、デバイス、そしてデータまでを一体とした保護が可能となる。総合的な対策が、昨今のサイバー攻撃で狙われがちな侵入経路を遮断することに寄与するのだ。

この記事をシェア

ネットワークのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!