ホームネットワークも接続デバイスも、まとめて保護しよう

ホームネットワークを保護するには?

ホームネットワーク-featured

ホームネットワークを保護するのは、構築するのと同じくらい骨の折れる仕事です。ワイヤレスルーター1台とラップトップ1台という構成のホームネットワークなら話は簡単ですが、ルーター1台、コンピューターとモバイルデバイスが数台、さらにワイヤレスネットワークプリンター、スマートテレビ、Wi-Fi対応セキュリティシステムといったさまざまなデバイスで構成されるワイヤレスネットワークとなれば、格段に難しい作業になってしまいます。一般的に、家庭において接続されるデバイスが増えれば増えるほど、保護するのは難しくなります。少なくとも今は。ただ、こうした接続デバイスの諸々は「モノのインターネット」が進化するにつれて合理化されていくのではないかと個人的に思っていますが。

混乱を避けるために、あなたのホームネットワークがとてもシンプルな構成だとしましょう。ルーターが1台と、コンピューターとスマートフォン(またはタブレット)が数台あるとします。もしかすると、ネットワークプリンターが1台か2台、娯楽用のスマートテレビが1台と、Xboxなどのワイヤレス接続ゲーム機も繋がっているかもしれませんが。

一番よくあるパターンは、これらすべてのデバイスをルーター経由でWebにワイヤレス接続することです。したがって、ルーターが家庭内のすべてのインターネット通信のハブということになります。そう考えると、ルーターが保護されていなければ、他のすべてのデバイスも保護されないというわけです。イーサネットケーブルを何本も組み合わせて、すべてのデバイスをルーターに有線接続することも可能と言えば可能ですが、安全性は非常に高いとしても、まったく不便になってしまうことは言うまでもありません。

では、まずルーターについてお話ししましょう。もちろん、ワイヤレスネットワークは推測されにくい自分だけのパスワードで保護したいものですね。新しいルーターのほとんどは、ゲスト用ネットワークをセットアップする機能を備えています。どうぞ使ってください。ゲスト用ネットワークには固有のパスワードを設定し、家を訪れた人がインターネットにアクセスしたいと言ったら、ゲスト用ネットワークにログインしてもらいましょう。こうすることで、自分がいつも使うネットワークで許可されるデバイスを少しだけ強くコントロールすることができ、よく知らないマシンは基本的に、自分が使わない別のネットワークに隔離することができます。

ルーターは家庭内のすべてのインターネット通信のハブ。そう考えると、ルーターが保護されていなければ、他のすべてのデバイスも保護されないというわけです。

ルーターが生成したワイヤレスインターネット接続の保護は、パスワードだけでは十分ではありません。市販のルーターのほとんどには、管理パネルが用意されています。管理パネルを表示するには、いくつかあるIPアドレスの1つをブラウザーのアドレスバーに入力します。Googleなどの検索エンジンで、ルーターのモデル名と「IPアドレス」というキーワードで検索すると、IPアドレスがわかります。そのIPアドレスをアドレスバーに入力して数秒待てば、ユーザー名とパスワードを入力するように表示されます。ユーザー名はおそらく「admin」で、パスワードもおそらく「admin」でしょう。ユーザー名とパスワードの組み合わせがわからなければ、またしても検索エンジンの出番です。Googleなどで検索してみてください。きっと見つかるでしょう。本当です。

ルーターのバックエンドに行き着いたら注意してください。あまりいじくりまわすのはおすすめできません。ということで、ワイヤレスネットワークに設定されているパスワードと、ルーターの管理パネルのパスワードは別になっています。ルーターのバックエンドに入ると、ワイヤレスセキュリティのセクションで、ワイヤレスアクセスのパスワードを平文で見ることができます。色々と言いましたが、まとめるとこういうことです:ワイヤレスネットワークのパスワードを知らなくても、攻撃者が既定のパスワードとユーザー名でルーターにアクセスできてしまう場合があり、ワイヤレスアクセスのパスワードを平文で見られる可能性、パスワードが変更される可能性もあります。したがって、管理パネルのアクセスパスワードはあなた自身が変更しておかなければなりません。

ルーターによっては、バックエンドに行ってパスワードを変更するように要求されることもあります。私のルーターには、バックエンドのユーザーインターフェイスに管理タブがあります。そのタブをクリックすると、[ルーターのパスワード]と[再入力して確認]という2つのフィールドが表示されます。やることと言えば、[ルーターのパスワード]というフィールドに一意の強力なパスワードを入力し、同じパスワードをもう1つのフィールドに入力して、設定を保存するボタンをクリックするだけです。多くのルーターにはセットアップウィザードも用意されており、最初にルーターをセットアップするときにパスワードの設定が求められます。

まだバックエンドにいるなら、[ワイヤレス]というタブがあるはずです。そのタブに移動して、ワイヤレスセキュリティのセクションをちょっと探してみましょう。ここがWi-Fiアクセスパスワードを平文で見ることのできる場所です。ここには、使用している暗号化の種類も表示されるはずです。新しいルーターのほとんどはWPAやWPA2に設定されています。それならいいのですが、古いルーターだと、WEPを使用しているか、これを使用するように設定されているかもしれません。WEPは簡単に破られてしまい、攻撃者にあなたのトラフィックを監視される恐れがあります。WEPに設定されていたら、WPAかWPA2に変更してください。WEPから変更できない場合は、新しいルーターを買った方がいいでしょう。

管理機能へのワイヤレスアクセスを完全に無効にすることもできます。つまり、バックエンドの管理パネルにアクセスするには、イーサネットケーブルを直接ルーターに接続しなければならないように設定することができます。現在執筆中の記事で、ルーターの保護に関してユーザーができることを詳しく紹介する予定です。Kaspersky Dailyでその記事が公開された際は、ぜひご覧ください。

次は、ネットワークに接続されるコンピューターとモバイルデバイスについてお話しします。1台のコンピューターが感染すると、そのコンピューターが接続されているネットワークにさまざまな経路から影響が及ぶことがあります。理論上、各種コンピューターとネットワーク自体の関係によっては、感染がネットワークを渡って別のマシンに行くこともあり得ます。さらに、キーロガー(キー入力を記録するマルウェアの一種)によって攻撃者にワイヤレスパスワードを特定されてしまい、ネットワークとルーターに侵入されて、中間者攻撃を実行される恐れもあります。

実際に、私が数年前に住んでいたマンションで、とある教師が児童ポルノのアップロードとダウンロードを行っていました。気の毒なのは、この教師の隣に住んでいた男性です。この教師はどうにかして隣人のワイヤレスパスワードを特定し、隣人のワイヤレスネットワークからインターネットに接続していました。その隣人のパスワードがぜい弱だったか、教師が何らかの方法でパスワードを傍受したのでしょう。とにかく、ある日、米国土安全保障省(DHS)とFBIが捜査令状を持って、無実の隣人の家にやってきました。手錠をかけられて部屋から引きずり出された隣人は、捜査官が彼の部屋とそこにあるすべてのものを捜索している間、尋問を受けました。隣人のネットワークとコンピューターを分析した結果、悪意のあるトラフィックは隣人のコンピューターから出たものではなく、実際には隣の教師のものだったことがすぐに判明しました。

これは少し極端な例ですが、同じようにあなたのコンピューターの1台がマルウェアに感染してボットネットの一部になった場合、そのコンピューターが何をやっているかを知る術はありません。そのボットネットは、あなたのIPアドレスとあなたのコンピューターの処理能力を利用して、さまざまな卑しい違法行為に及んでいるかもしれません。その悪意あるトラフィックを生成しているのが、ボットネットではなくあなただと誤解されて、警察にマークされてしまう可能性もあります。

このような理由と、他にも無数にある理由から、ネットワーク上のコンピューターも確実に保護しなければなりません。ネットワークのセキュリティの強度はルーターのセキュリティと同程度でしかないというのは確かにその通りですが、同じように、ルーターのセキュリティも接続されるコンピューターと同じ強度しかないということも事実です。端的に言えば、そもそもルーターの設定には自分のコンピューターを使ったはずです。もっと言えば、コンピューターのセキュリティが侵害されているのなら、ルーター自体のセキュリティがどんなに堅牢だったとしても、誰かがすでにネットワーク内にいるということです。したがって、強固なセキュリティ製品を動作させておく必要があります。コンピューター上だけでなく、モバイルデバイス上にもです。

ハードウェアとソフトウェアの更新が提供されたら(そのことに気づいたら)、コンピューター、スマートフォン、タブレット、プリンター、ルーターにインストールしましょう。テレビやゲーム機など、更新を受け取る可能性のあるものは、すべて同様です。私が読んだ記事や書いた記事で取り上げられるほぼすべてのマルウェアとエクスプロイトキットは、パッチが適用された既知のぜい弱性を標的としています。もう一度言わせてください。私が知るほとんどのマルウェアは、影響を受けたベンダーがすでにパッチを適用したぜい弱性を悪用します。つまり、更新をインストールすればこうした脅威の大半から身を守ることができるのです。問題は、あなたや私のような人たちが(他の人も皆そうですが)、ソフトウェアの更新を嫌がることです。安全を守るためのアドバイスを1つするとしたら、それは更新をインストールすることです。ホームネットワークを保護するためには、接続されるすべてのデバイスを保護する必要があるのです。

むしろ、スマートテレビ、ゲーム機、ネットワークプリンターについては、更新のインストール以外にできることがあるのか、私にはわかりません。7月にラスベガスで開催されたBlack Hatセキュリティカンファレンスで講演や記者会見をいくつか見ましたが、研究者はスマートテレビのセキュリティ侵害をいくつもデモしていました。こうしたデバイス向けのセキュリティ製品はまだ誰も作っていません。そのため、ユーザーにできるのは、ベンダーがこうした研究に関心を持って、バグを修正し、影響を受けたデバイスにパッチを提供することを期待することくらいです。この分野での明るい材料は、こうした研究者のほとんどが、研究内容の詳細を一般公開する前にベンダーに知らせていることです。セキュリティ研究者とテクノロジー企業が協力して、データを公開する前に製品のバグを修正することが、以前よりも一般的になりつつあります。

重要なのは、ネットワークに接続するデバイスにはできる限りのセキュリティ手段を適用することです。ネットワークは最もぜい弱なリンクと同じくらいの安全性しかありません。パスワードで保護し、更新をインストールして、セキュリティ製品を実行しましょう。いつものように、このブログや他のセキュリティブログを読んで、脅威についての最新情報を入手してください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?