トラベルルーターは安全か?

2017年4月28日

先日開催されたKaspersky LabのSecurity Analyst Summit(SAS)では、示唆に富む研究がいくつも発表されました。APTの詳しい調査や、企業に対する脅威を中心とした講演が多かったとはいえ、個人ユーザーがセキュリティ上の危険に晒されていることを示すセッションもいくつかありました。

Securai GmbHのITセキュリティコンサルタントであるジャン・ホーシュ(Jan Hoersch)氏が、コネクテッドIoTデバイスで発見した脆弱性に関する講演もその1つです。20分間の講演の中で、「セキュリティ上の不備がある」と評された7製品のうち4製品がトラベルルーターでした。

ホテルのWi-Fiについては、これまでも当ブログで取り上げました。ホテルのWi-Fiは100%安全とは限りません。そこで、IT通の旅行者はトラベルルーターを使ってセキュリティを強化しています。セキュリティ面のメリットだけでなく、自分のデバイスをホテルのWi-Fiネットワークにいちいち接続する手間が省けるという便利さもあります。

Amazonなどでは、トラベルルーターに対しておおむね好意的なレビューが付いていますが、レビューの中で「セキュリティ」について触れられていることは滅多にありません。

一般の人にとって、利便性は安全性よりもはるかに魅力があるようです。ストリーミングサービスが制限されているホテルなのに自分のデバイスからNetflixを視聴できたら、乗っ取られているかどうかなんて誰も気にしないでしょう。

冗談はさておき、IoT製品の開発においてセキュリティは最優先事項ではありません。これが悲しい現実です(この点も、過去に取り上げたとおりです)。

ホーシュ氏は講演で、聴衆に向かって次のように述べました(英語記事)。「(ルーターで)パスワードがハードコードされていることがあります。こういったパスワードは、たいていの場合、ただ悪用されるためにあります。バックドアのようなものです」

ホーシュ氏は、どういった悪用の可能性を発見したのでしょうか?

あるルーターは、利用者情報(ユーザー名、SSID、管理者パスワード)を平文で送信していた可能性があります。攻撃者側で必要なアクションは、このルーターにSMSメッセージを送って応答を待つことだけです。また、内蔵のLANポートに脆弱性が存在するルーターもありました。簡単に設定を書き換え可能であったり、悪意ある不正コマンドを挿入可能であったりする欠陥です。つまり、頼みもしないのにWebトラフィックを覗き見されたり、コンピューターに接続されたりすることになりかねません。

それでは、自分の身を守るにはどうすればよいでしょうか。

  • よく調べる。これは、ただAmazonでエンドユーザー向けのレビューを読むという意味ではありません。技術的な情報を掲載するサイトに行って詳しい技術情報を読むなり、デバイスやセキュリティの欠陥についてGoogle検索するなりして、調べてみましょう。
  • 既定のパスワードを変更可能かどうか確認する。ルーターについて調べる際に、この点も確認しましょう。少なくとも、デバイスを初期設定するときには、パスワードを変更可能か調べてください。ホーシュ氏が講演で語ったように、多くのルーターでパスワードがハードコードされています。自分のルーターがこのケースに当てはまる場合は、後述のアドバイスを参照の上、購入の再検討や、別機種への交換を検討してみてください。
  • 自分のリスクレベルを見極める。容認するリスクの程度は人によって異なりますが、セキュリティは最終的に個人の判断に委ねられる部分が多々あります。自分は強力なアンチウイルス製品を使っていてセキュリティの対策もしっかりできている、と思える状態ならば、リスクを少々高めに負う判断もできるかもしれません。しかし、普段から「Password1234」のような解読されやすいパスワードを使っていたり、複数のネットワークで同じパスワードを使い回したりしているのであれば、セキュリティに対する姿勢を今一度見直した方がよいでしょう。パスワードの重要性やパスワード利用のヒントについては、Kaspesky Dailyの各種記事を参考にご覧ください。