ルーター

18 記事

security-week-36-featured

セキュリティウィーク36:脱獄ユーザーの盗難被害、RC4との決別、ルーターの欠陥

今回のセキュリティウィークは、脱獄(ジェイルブレイク)したiPhoneからデータを盗むマルウェア、古き暗号化方式に別れを告げる大手ブラウザーメーカー、ちょっとマイナーなメーカーのルーターに見つかった脆弱性という3つのニュースを紹介します。

D-Link、ルーターのぜい弱性を修正へ:ユーザー側の対応も必要に

ネットワーク機器大手のD-Linkは、同社製の旧型ルーターの多くに、極めて深刻なバックドアのぜい弱性があることを認め、その修正に取り組んでいます。 Threatpostによると、このぜい弱性は、セキュリティ研究者のクレイグ・ヘフナー(Craig Heffner)氏が、D-Linkのファームウェアのバージョンをリバースエンジニアリングしているときに発見したそうです。奇妙なコード文字列を見つけたヘフナー氏は、攻撃者にこのぜい弱性をエクスプロイトされる可能性があることに気付きました。それによってルーターの管理パネルにリモートでログインされ、パスワードの変更、暗号化の解除、ワイヤレス信号の切断など、さまざまな深刻な設定変更が可能になってしまう恐れがあります。また、攻撃者は管理パネルのアクセスパスワードを変更できてしまうため、ルーター設定へのアクセスがブロックされてしまい、攻撃者がルーターに加えた変更を取り消すのは非常に難しいことになります。このぜい弱性を利用してルーターベースのボットネットを構築しよう、と考えるハッカーがいるかもしれませんし、追跡されにくいように他人のホットスポットからインターネットにアクセスする場合もあるでしょう。 D-Linkが、深刻なぜい弱性があることを理解し、それを修正するプロセスを開始したことは評価できますが、残念なことに、WindowsやMacのオペレーティングシステム更新と同じようにはいきません。OSの更新では、MicrosoftやAppleが、ユーザーに更新をインストールするかどうかを確認し、場合によっては更新が自動的にインストールされることもあります。しかし、ルーターのファームウェアを更新するためには、ユーザーがルーターのバックエンドにアクセスし、更新ファームウェアのセクションを探し出して、ルーターのメーカーのWebサイトへ行き、適切なファームウェア更新ファイルをダウンロードし、ルーターのバックエンドインターフェイスまで戻ってきて、そこに新しいファームウェアをアップロードしなければなりません。 ルーターの深刻なバグが非常にまずい事態を招くことも少なくありません 別の見方をすれば、D-Linkはこのぜい弱性へのパッチ適用に関して、ある程度面目を保っており、実際のところ、同社はできることをすべてやっています。ぜい弱性のないルーターを作ることを同社に期待するのは、実情を無視した話です。そこで、問題ではありますが、影響を受けるユーザーの大半は、新しいルーターを買わざるを得なくなるまで(ふつうはかなり長期間)、ぜい弱性を抱え続けることになります。その理由は、ファームウェアの更新プロセスがあまりに複雑であることや、ほとんどのユーザーがこれらを更新する方法を知らないか、そもそもバックドアのぜい弱性があることに気付いてすらいないことにあります。 ユーザーがルーターに触る機会は限られており、ワイヤレス信号が途絶えたときに電源を切ってすぐに入れ直すくらいです。それを考えると、ルーターの深刻なバグが非常にまずい事態を招くことも少なくありません。ルーターに問題があれば、ネットワーク全体がぜい弱になります。ルーターのライフサイクルが非常に長いことも事態をさらに深刻にしています。ルーターはコンピューターやモバイルデバイスと違って、毎年性能が向上するわけではありません。正常に動いていれば、ユーザーはルーターのことなどほとんど気にもかけないでしょう。Appleが新型iPhoneをリリースしたときは、1週間iPhoneの話題で持ちきりになりますが、CiscoやHuaweiといったネットワーク企業がルーター機器の新製品を発表しても、ほとんどの人は知りません。 影響を受けるD-Link製ルーターは、DIR-100、DIR-120、DI-624S、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240です。これらのルーターのいずれかを使っている人は、ワイヤレスルーターの安全な設定について説明したKaspersky Dailyの記事を読んでみてください。大まかに言うと、この記事ではファームウェアの更新方法を詳しく説明しています。ただし、警告しておかなければなりません。こうしたルーターのぜい弱性が極めて深刻である理由の1つは、ファームウェアの更新に失敗すればルーターが壊れてしまい、どうしようもない事態になる可能性があることです。適切に更新できたとしても、カスタム設定がすべて失われる恐れがあります。ルーターのファームウェアは私も更新したことがありますが、絶対に必要でない限り、なるべくやらないようにしています。不運にもこれらのモデルを使用している人にとって、今回のぜい弱性は、更新が必須というケースの1つかもしれません。 D-Linkは、このぜい弱性の修正パッチが準備できるのは月末になると述べているため、今のところはユーザー側でできることはありません。更新が提供されたら、D-Linkのサポートページにアクセスして、そこで説明されている手順を実行しましょう。セキュリティ専門家たちは、ファームウェアの新バージョンが提供されるまでの間はWPA2を有効にしてランダムなパスワードを使用するように、該当モデルのユーザーへ呼びかけています。 このようなバックドアが存在する理由は明らかにされないこともありますが、メーカーが開発の過程でリモートサポートやデバッグができるように、意図的に作ったのかもしれません。以前、一部の企業がこのようなことをして、後でバックドアを削除するのを忘れていたということがありましたから。

ルーター設定-featured

ワイヤレスルーターを安全に設定する

ワイヤレスルーターは、家庭のネットワーク全体をつなぐ重要なハブの役目を果たしています。あなたの持っているほぼすべてのデバイスがそのルーターを経由し、モデムを介してインターネットに接続しています。ルーターのセキュリティが正しく設定されていないと、ルーターにワイヤレスで接続されているすべてのものが攻撃に対してぜい弱であるということになります。 ルーターのセキュリティを維持するための、ささやかでとても簡単な対策がいくつかあります。対策を施すことだけでオンラインの安全が保証されるわけではなく、マルウェアやWeb上の多数の脅威には引き続き注意する必要があります。しかし対策を講じないのは、キツネが潜んでいるかもしれない土地で鶏小屋のドアを開け放しておくようなものです。用心するに越したことはありません。 ルーターはモデルによって機能やインターフェイスが異なるため、正確なセットアップ方法をここで説明することはできません。しかし、ほぼすべてのルーターには、管理インターフェイスからアクセス可能なセキュリティ設定の基本セットがあります。 ルーターのバックエンドへ入る前に、パスワードを設定してルーターを保護しましょう。ルーターをモデムに接続した後で最初にしなければならないことは、ワイヤレスネットワークへのアクセスに使う強力で使い回しのないパスワードを設定することです。新しい(中古ではない)ルーターにはたいていCDなどが付属しており、そこからセットアップウィザードを利用できます。中古ルーターの場合は(筆者は推奨しませんが)、おそらく製造元のWebサイトからダウンロード版のセットアップウィザードを利用できるでしょう。通常はウィザードを進めていくと、パスワードを設定してルーターを保護するかどうかを尋ねられます。パスワードを設定することを選択すると、バックエンドにアクセスする前に、すぐにその場でパスワードを設定することになります。 また、ゲストネットワークをセットアップするかどうか尋ねられる場合もあります。セットアップして、強力なパスワードで保護することをお勧めします。そうしておけば、不注意な友人が何かまずい問題を抱えたマシンを持ってやってきたとしても、ゲストネットワーク内に隔離されるため、あなたが使うネットワークにはまったく影響がありません。 ルーターにセットアップCDが付いていなくても、おそらく機器の背面に小さな青いボタンがあるでしょう。CDが付属している上に、青いボタンが付いている場合もあります。青いボタンがなく、PIN番号を入力する場合もあります。いずれにしても、お使いのルーターにはWi-Fi Protected Setup(WPS)機能が搭載されているはずです。ワイヤレスネットワークのセットアップに関する知識を多少は持っているというのでなければ(それならばこの記事を読んでいないでしょうね)、ぜひWPSを使いましょう。セットアップCDを使用する場合はふつう、既定でWPSが設定されます。WPSとは、「家庭や小企業環境でセキュリティが有効なWi-Fiネットワークを簡単に設定することを目的として、Wi-Fi Allianceが開発した任意の認定プログラム」です。つまり、面倒なセキュリティ設定作業をすべてやってくれるのです。手始めには良いのですが、それでもやはりルーターの管理インターフェイスに入って、すべてが保護されているかを確認しましょう。 管理インターフェイスに入ったら、使用しているルーターのメーカーとモデルを確認する必要があります。次に、メーカー名とモデル番号に「IPアドレス」という語を加えてGoogle検索します。IPアドレスをアドレスバーに入力すると、ログイン用フィールドが表示されます。もう一度Google検索をして、使用しているルーターの既定のユーザー名とパスワードを確認します。既定のユーザー名とパスワードが分かったら(おそらく非常にシンプルなものでしょう)、それらを使ってルーターのバックエンドに入ります。ルーターのセットアップウィザードによっては、管理パスワードを自動変更して、ワイヤレスネットワークにアクセスするときに使うパスワードと同じものに設定するものがあります。既定のパスワードが使えない場合は、ワイヤレスアクセス用のパスワードを試してください。 ここで、ご注意を。管理インターフェイスをいろいろといじってしまうと、ネットワークを利用するための機能に深刻な問題が生じる可能性があります。何も変更しなければ問題は発生しません。つまり、自分がよく理解していない機能を触ってしまうことさえなければ、ルーターのバックエンドにアクセスするのにはまったく問題ありません。何らかの問題が起きてしまった場合は、工場出荷時の既定の設定に戻して、最初から設定し直すのが良いでしょう。 ルーターの管理アクセスパスワードがワイヤレスネットワークのパスワードと同じ場合は問題ありません。既定のパスワードでバックエンドにアクセスできてしまう場合、またはセキュリティを高めたい場合は、ルーターのパスワードを変更する必要がありますが、その話は後回しにしましょう。 まず、やるべきことは、暗号化を有効にすることです。ただの暗号化ではありません、強力な暗号化です。WPAまたはWPA2、もしくは両方を組み合わせたものが理想的です。WEPは比較的古くて弱いため、できれば避けたいものです。WPSを使ってセットアップした場合はおそらくWPAかWPA2が有効になり、デバイスとルーター間でやり取りされるデータは強力な暗号化で保護されるはずです。またこの時点で、ファイアウォールがIPv4トラフィックおよびIPv6トラフィック向けに有効であることを確認しておくこともお勧めします。こちらもWPSを使用した場合は有効になっているはずです。VPNパススルーも有効である必要がありますが、既定で有効になっているでしょう。 ほとんどのルーターの管理インターフェイスには、[ワイヤレス]タブがあります。[ワイヤレス]タブにはたいてい、[ワイヤレスセキュリティ]というサブセクションがあります。そこをクリックすると、ワイヤレス用パスフレーズが表示されるはずです(平文かもしれませんが)。何らかの理由でワイヤレスアクセス用のパスワードを変更したい場合は、ここから変更します。また、[管理]というタブもあるかもしれません。このタブがある場合は、[ルーターのパスワード]というフィールド(またはそれに類するもの)があるでしょう。ここでルーターの管理インターフェイスに入るためのパスワードを変更できます。既定のパスワードのままになっている場合は変更しましょう。 このセクションには他にも、多数のセキュリティオプションがあります。たとえば、HTTPSをオンにするためのボタンがあるかもしれません。HTTPSを有効にするとログインデータが暗号化され、バックエンドを操作するときに受ける恐れのある中間者攻撃やその他の攻撃から守られます。ただし、HTTPS機能をオンにすることはお勧めしません。オンにする場合は十分に注意してください。HTTPSを一度有効にしたとき、私のルーターのバックエンドインターフェイスは動作にひどく時間がかかったからです。時間と忍耐力がある人ならHTTPSをオンにするのが最善かもしれませんが、使い勝手が悪かったり証明書の問題が発生したりする可能性があります。さらに大事なこととして、リモート管理が無効であることを確認してください。この場合、ルーターのバックエンドにアクセスしようとする人は、ネットワークに接続されることになります。さらにセキュリティを高めたい場合は、ワイヤレスアクセスも無効にできます。つまりバックエンドにアクセスするには、イーサーネットケーブルで物理的にルーターに接続する必要があります。 [管理]タブの中には、ファームウェアをアップグレードするためのサブのタブがあると思います。ルーターでもバグが発生することがあり、そのようなとき製造元は、ルーターを制御するファームウェアをアップグレードします。オペレーティングシステムや一般のソフトウェアとは異なり、ルーターの製造元がアップデートをユーザーに送信することはありません。そこでユーザーは、アップデートを自分でダウンロードする必要があります。ダウンロードするには、まずルーターのメーカーとモデル、および「ファームウェアアップグレード」というキーワードでGoogle検索します。次に、自分が使っているファームウェアのバージョンを確認します。バックエンドのインターフェイスに、ファームウェアのバージョンを示す何らかの表示があるはずです。製造元のサイトに、使用しているバージョンのファームウェアへのリンクがあると思いますので、アップグレードが必要かどうかをそこから判断できるでしょう。アップグレードするには、アップデートファイルをダウンロードして保存し、バックエンドのインターフェイスからファームウェアのアップデートセクションにアクセスします。そして表示される指示に従います。通常は[参照]ボタンや[ファイルの選択]ボタンをクリックして、コンピューター上のファイルの中からダウンロードしたファームウェアアップデートファイルを探して指定するだけです。 この記事で紹介したすべての手順に従った場合でも、あらゆる攻撃に耐えられるわけではありません。しかしルーターのセキュリティに注意を払っていない人に比べれば安全で、良いスタートを切ったと言えるでしょう。ルーターのセキュリティを守る方法について他にお気付きの点があれば、コメント欄にご意見をお寄せください。