警視庁からの注意喚起に基づくBUFFALOルーターのセキュリティ対策

皆様こんにちは
ネットワーク事業部の浅井です。

最近はサイバー犯罪といった単語を耳にする機会も増えてきたかと思います。
そんな中、警視庁から『家庭用ルーターの不正利用に関する注意喚起について』という注意文が公開されました。
ただ、推奨する対応として書かれている内容は、全く知識がない状態ではなかなか理解、対応が難しいものかと思います。

今回はそれぞれの単語の意味説明、設定方法をBUFFALOのルーターを例に解説をしていきます。

警視庁からの注意喚起内容

まずは、警視庁から発表された注意喚起の内容について確認しましょう。
推奨する対応として書かれていたのは下記の3つです。

・初期設定の単純なIDやパスワードは変更する
・常に最新のファームウェアを使用する
・サポートが終了したルーターは買い替えを検討する

今回、新たに追加された一文が下記の内容です。

・見覚えのない設定変更がなされていないか定期的に確認する

また、この文の下に具体例として3項目が記載されています。

1.見覚えのない「VPN機能設定」や「DDNS機能設定」、「インターネット（外部）からルーターの管理画面への接続設定」の有効化がされていないか確認する。
2.VPN機能設定に見覚えのないVPNアカウントが追加されていないか確認する。
3.見覚えのない設定があった場合、ルーターの初期化を行い、ファームウェアを最新に更新した上、ルーターのパスワードを複雑なものに変更する。

具体例として3項目挙げられていますが、専門的な用語も使われておりこの文章を読んだだけでは何をどうすればよいのかわからない、という方もいらっしゃるのではないでしょうか。

引き続き、それぞれの対応について詳しく見ていきましょう。

VPN機能設定

VPNとは、（Virtual Private Network）の略称であり、仮想でセキュリティが保たれたネットワークを構築する技術のことをいいます。
例えば、社外から社内のPCやファイルサーバーにアクセスできるようにしたり、離れた2つの拠点を安全に常時接続することなどに利用できます。

では、この技術を悪用されてしまうとどうなってしまうのでしょうか。
不正にVPN接続されることでの直接的な被害としては、ルーターに接続されているパソコンやネットワークカメラ、タブレットにアクセスされてしまうことが考えられます。
もし、パスワードが初期設定のネットワークカメラがあれば、映像を盗み見られてしまう可能性もあります。
また、別の被害としては、ルーターを犯罪の踏み台にされてしまうことが考えられます。例えば海外からのアクセスでもVPN機能を持ったルーターを経由すると、攻撃者の情報を隠して攻撃することが可能になってしまいます。
つまり、知らないうちに自分が所有するルーターを犯罪に使われてしまうかもしれないのです。

VPN機能が有効になっていないか確認する

BUFFALOルーターの場合は、機種によってVPN機能を有しているものと、そうでないものがあります。
最近販売されているVPN機能があるモデルは基本的に上位モデルであり、『WXR』で始まる型番の機種、もしくは、法人向けの機種に搭載されています。
まずは利用しているルーターが該当の機種に含まれるかを確認しましょう。

VPN機能が有効になっているかはルーターの管理画面を見ることで確認することができます。
ここでは、BUFFALO製ルーターの『WXR-6000AX12S』を例に説明します。

まず管理画面にアクセスします。初期設定から変更をしていないのであれば、『https://192.168.11.1』で管理画面へのアクセスが可能です。
もし、初期設定から変更されている場合には、BUFFALOの公式から提供されているエアーステーション設定ツールを利用するとよいでしょう。

管理画面の表示には、ユーザー名とパスワードが必要になります。
BUFFALO製のルーターでは多くの場合、本体購入時に付属されているセットアップカードもしくは本体に張られたシールにパスワードが記載されています。ユーザー名に『admin』、パスワードに記載された内容を入力しましょう。

ログイン後の管理画面では、まず『詳細設定』をクリックします。

詳細設定クリック後の画面では、『Internet』＞『VPNサーバー機能』を選択します。

VPNサーバー機能画面で不正なアクセスの有無を判断する際は、次の内容で確認できます。
・『VPNサーバー機能』に『L2TP/IPsec』が設定されている
・『VPN接続ユーザーの表示』に『接続ユーザー』が作成されており『接続状態』が『接続中』となっている

『VPNサーバー機能』の項目は、初期状態では『使用しない』となっています。『L2TP/IPsec』が表示されていた場合はVPN機能が有効となっています。また、『VPN接続ユーザーの表示』の項目に覚えのないユーザーが登録されていて、『接続状態』が『接続中』となっていた場合、不正アクセスされている最中の可能性が高いため、急いで対策をしましょう。

VPNサーバー機能を無効とする手順としては、まず『VPNサーバー機能』の『L2TP/IPsec』を『使用しない』に切り替えて、画面右下の設定ボタンを押下しましょう。
この設定を切り替えれば、ひとまずアクセスが出来ない状態にできます。

続いて、『VPN接続ユーザーの表示』に設定されているユーザーを削除しましょう。画面内の『VPN接続ユーザーの編集』ボタンを押下します。その後、表示された画面で、不要なユーザーの行にある『削除』ボタンを押下します。
これでVPNユーザーの削除も完了です。

ただ、もし不正な設定が見つかった場合は既に不正アクセスされてしまったと考えられるため、一度ルーターを初期化した上で、強固なパスワードを設定するべきでしょう。パスワードの設定方法については後述します。

DDNS機能設定

DDNSとは、（Dynamic Domain Name System）の略称であり、固定されていない動的なIPアドレスに対して割り当てられたホスト名との関係を、動的に管理することを言います。
これを踏まえて今回利用されているDDNS機能について説明します。
インターネットに接続する際はルーターにプロバイダから割り振られるグローバルIPアドレスが設定されますが、このグローバルIPアドレスは接続が切れたタイミング等で切り替わってしまうことがあります。何も対策をしない状態でグローバルIPアドレスが変わってしまった場合、インターネット上で同じルーターを見つけ出すことは難しくなってしまいます。
ですが、DDNS機能を用いると、仮にグローバルIPアドレスが切り替わった場合でも、常に最新のグローバルIPアドレスとホスト名を紐づけてくれるため、ホスト名さえ分かっていればインターネット上のどこにルーターがあるかを見つけることができるのです。

DDNS機能は、VPN機能を利用する際やサーバーを公開する際には非常に便利な機能ですが、不正アクセスに利用されてしまうこともあります。
例えば、ルーターのグローバルIPが切り替わった場合でもDDNS機能を利用していれば、該当ルーターを見失うことが無いため継続して不正アクセスをし続けることができてしまいます。
そのため、見覚えの無いDDNS設定は解除をする必要があります。

DDNS機能が有効になっていないか確認する

先ほどのVPN機能は上位モデルにしか搭載されていませんでしたが、DDNS機能は上位モデル以外のルーターにも搭載されているため、注意が必要です。

詳細設定から『Internet』＞『DDNS』を選択します。

こちらの画面において、確認するポイントとしては『ダイナミックDNS機能』が『使用しない』に設定されているかどうか、『ダイナミックDNS設定情報』の『ドメイン名』『状態』が『未設定』になっているか、の二点です。
設定した覚えが無いにもかかわらず、ダイナミックDNS機能が『使用しない』以外に設定されていたり、『ドメイン名』『状態』が『未設定』以外になっていた場合、ルーターに不正アクセスをされている、もしくはされやすい状態になっている可能性があります。

DDNS機能を無効にする場合には、『ダイナミックDNS機能』を『使用しない』に変更して、画面右下の設定ボタンを押下しましょう。

インターネット（外部）からルーターの管理画面への接続設定

この機能は、『外部』からルーターの管理画面にアクセスしようとした場合、管理画面へのアクセスを制限する機能です。これを許可すると、外部の攻撃者からも管理画面へアクセスが可能になり、ルーターを乗っ取られてしまう可能性があります。

ただ、『内部』『外部』という部分について詳細に説明すると長くなってしまうため、今回はBUFFALOルーターを基準に簡単に説明をします。

まず、『内部』とは、BUFFALOルーターのLANポートの先に繋がっている機器、もしくはWi-Fiで繋がっている機器を指します。
LANポートの先に繋がっているパソコンや、Wi-Fiで繋がっている携帯やタブレットは『内部』となります。

続いて、『外部』とは、BUFFALOルーターのWANポート、もしくはINTERNETポートの先に繋がっている機器のことを指します。
WANポートの先に繋がっている機器のため、WANポートの先にHUBがあってそこに繋がっているパソコンは『外部』となりますし、『インターネット』を通した先にあるパソコンはもちろん『外部』となります。

外部からのアクセスが許可されていないか確認する

BUFFALOルーターの初期設定では、『外部』からのアクセス許可は無効となっています。そのため、基本的には設定を変更する必要はありませんが、攻撃を受けた場合にはこちらの設定が許可に変更されてしまっている可能性があります。不正アクセスの有無を確認をする際は必ずチェックしましょう。

確認方法は、詳細設定から『管理』＞『システム設定』を選択します。

『アクセス』欄にある、『Internet側リモートアクセス設定を許可する』に有効のチェックが入っていなければ、外部からのアクセスは制限されている状態です。

もし、チェックが入っていた場合は、チェックを外し画面右下の設定ボタンを押下しましょう。

これで、『外部』からルーターの管理画面へのアクセスが出来ないように設定が変更されます。

本体を初期化する

もし、不正アクセスされていたとわかった場合は、ユーザーの意図しないように設定が変更されてしまっている可能性があるため、一度初期化をしたほうが良いでしょう。
ただ、初期化をするとインターネットの接続設定等も消えて、工場出荷時の状態になってしまうため、注意が必要です。

管理画面からの初期化手順

管理画面から初期化するには、詳細設定から『管理』＞『設定管理/再起動』を選択します。

『設定管理』の項目で、『設定を初期化する』にチェックが入っていることを確認して『設定操作実行』ボタンを押下します。
ルーター本体のランプが点滅しだしたら処理が開始されています。点滅が終了したら初期化が完了です。

初期化ボタンを利用した初期化手順

各ルーターには、初期化用のボタンが用意されています。ケーブルの挿し口の近くに小さな穴が開いており、その先にボタンがあります。誤って押さないような作りになっているため、細い針金などで押すようにしましょう。
初期化手順は非常に簡単で、ルーターの電源が入った状態でボタンを3秒程度押すだけです。
こちらで作業する場合も、設定ファイルの保存を事前にしておくよう注意しましょう。

ファームウェアの更新

ルーターは販売後に脆弱性が見つかる場合があります。脆弱性を放置したままにすると、これまでの項目で説明してきたような対策を行っていたとしても、不正アクセスされてしまう場合があります。
そういった脆弱性に対して、ファームウェアを最新の状態にアップデートすることで対策できます。

ファームウェアのアップデート手順

詳細設定から『管理』＞『ファームウェア更新』を選択します。

インターネットに接続されている状態であれば、画面内の『オンラインバージョンアップ』にチェックを入れ、『更新実行』ボタンを押下します。
ルーター本体のランプが点滅しだしたら処理が開始されています。点滅が終了したらファームウェアのアップデートが完了です。

強固なパスワードに変更する

もし、『password』といった初期パスワードをそのまま使用していたり、覚えのない不審な設定が追加されていた場合には、現在のパスワードを変更してより強固なパスワードに変更する必要があります。
パスワードについては、ランダムなものであっても短いものは総当たりで突破されてしまうため、16桁程度の大文字小文字を利用した英数字のパスワードを設定するようにしましょう。
なお、変更後のパスワードがわからなくならないよう、メモを取っておくことを忘れないようにしましょう。

パスワードの変更手順

詳細設定から『管理』＞『システム設定』を選択します。

項目『システム情報』の『管理パスワード』に設定したいパスワードを入力し、画面右下の設定ボタンを押下します。
これでパスワードの変更は完了です。最後に管理画面にログインできることを確認しましょう。

設定のバックアップを取得する

不正アクセスが無いことを確認し、外部からのアクセスを制限した後は設定ファイルのバックアップを取っておきましょう。設定のバックアップを取っておくことにより、仮に初期化をした場合であってもすぐに正常な状態に戻すことが可能となります。もし、設定を変更した場合は都度バックアップを取るように注意しましょう。

設定のバックアップ手順

設定のバックアップをするには、詳細設定から『管理』＞『設定管理/再起動』を選択します。

『設定管理』の項目で、『設定ファイルを保存する』にチェックが入っていることを確認して『設定操作実行』ボタンを押下します。
拡張子が『bin』のファイルがダウンロードされるため、必要があればファイル名に日付やわかりやすい名前を付けて保存しておきましょう。

まとめ

今回はBUFFALOのルーターを例に、警視庁からの注意文について機能の説明、設定方法等をご説明させていただきました。
不正アクセスをされてしまうことで、途中でも述べましたが、個人の大事な情報が盗まれてしまうだけでなく、犯罪の片棒を知らぬ間に担がされてしまう場合もあります。まずは、自分は大丈夫だろうといった考えを捨てて、自分のインターネット環境がどのような構成になっているのかを知り、不正アクセスをされないような対策が重要となります。機械が故障せず使えているから…と考えず、定期的に機器を新しく、また、知識も新しくしていくように心がけていきましょう。
弊社では、今回紹介したBUFFALOのルーター以外にも様々なネットワーク機器についてもご提案やサポートを行うこともできます。
ネットワークでご心配事がございましたら、お気軽にご相談下さい。

この記事を読んだ方はこちらも読まれています

Winodws10でVPN（L2TP/IPsec）の自動接続設定 YAMAHAルータでPPTPとL2TP/IPsecを併用する FortiGateでVPN（L2TP/IPsec）を設定しよう