近年、家庭で使っているルーターを経由したサイバー攻撃が目立っています。
在宅勤務やテレワークで働く勤務スタイルが普及した現在、個人でも情報セキュリティの知識が必要だといえるでしょう。
 
本記事では、家庭用ルーターをはじめとした身近なIoT機器が悪用されるリスクや、それに対する対策についても紹介していきます。  

家庭でインターネット接続に使うルーターを経由するサイバー攻撃

「家庭用ルーター 標的に」 サイバー攻撃、発信元偽る
  「お宅の通信機器が不正アクセスの発信元になっている」2022年秋、都内のアパートで暮らす30代男性は捜査員から身に覚えのない指摘を受けて驚いた。警視庁の捜査で、男性宅のルーターが企業のサイバー攻撃に使われていた疑いが浮上していた。   警視庁の分析により、攻撃側が何らかの方法で入手したIDとパスワードを使うなどして家庭用ルーターに外部から接続していたことがわかった。   ルーターを経由して企業の内部ネットワークにアクセスし、情報を盗もうとしたようだ。 男性と攻撃を受けた企業に接点はなく、事件とは無関係とわかった。警視庁によると同種のサイバー攻撃は20年から複数発生し、大手メーカーや重要インフラ企業も狙われた。  
小林怜.「家庭用ルーター標的に」『日本経済新聞』2023/5/14朝刊  

 

警視庁は上記のような、サイバー攻撃により古い家庭用Wi-Fiルーターが悪用される事案を受け、3月28日に「家庭用ルーターの不正利用に関する注意喚起」を公開しました。  

家庭用ルーターは、インターネットに接続するためには必要な機器で、パソコンなどの端末と外部ネットワークのデータのやりとりを中継します。

 

この家庭用ルーターのような無線LAN機器の設置してある家庭の割合は、約9割といいます。

つまり、現代ではほとんどの家庭に何かしらの無線LAN機器が設置してあり、上記のようなサイバー攻撃のリスクがあるということになります。

身近なIoT機器が悪用されるリスクに備える必要性

在宅勤務の普及に伴い、家庭でルーターを使う人も増えているため、身近な「IoT※」機器が悪用されるリスクは急速に広がっています。

※IoTとは、Internet of Things の頭文字をとったものであり、あらゆるものをインターネットに接続する技術   

 

警視庁によると、2022年、IoT機器を狙ったと見られる不審なアクセスは、2018年に比べ3倍にも増えたということです。  

 

オフィス用であれば、セキュリティには十分な対策が取られますが、家庭用となると、セキュリティについては購入時の状態のまま放置される場合が多く、乗っ取られるリスクが比較的高くなります。

家庭用ルーターの悪用対策

ネットワークの中でも重要な役割を担うルーター。

インターネット通信の出入り口に脆弱性があると、ネットワーク全体が乗っ取られたり、その回線で犯罪行為を実行されてしまう可能性があります。

そのためルーターのセキュリティ対策は重要で、以下の点に気をつける必要があります。

ルーターのログインパスワードは、マニュアルや本体に記載されているため、誰でもパスワードが確認できる状態です。

購入時のままにしておくと、管理者以外でもルーターの管理や制御が可能になってしまうため、必ずパスワードの変更を行いましょう。  

 

また、ルーターのファームウェアのアップデートは、セキュリティアップデートも含みます。

そのため、常に最新のバージョンに適用するようにします。 ルーターは、モデルによってサポート期間が明記されていない場合もありますが、サポート期間が切れたり、定期的なアップデートが行われない場合は、ルーターの買い替えを検討するようにしましょう。  

 

家庭でルーターを使用する場合、管理画面へログインしたことがない方もいるかもしれません。

しかし、それでは悪用される可能性も高く、不正ログインなどがあっても気づくことができません。

 

そのため、定期的にログインを行い、見覚えのない設定変更がなされていないか確認するようにしましょう。  

警視庁は次の事項を定期的に確認することを推奨しています。

1. 1. 見覚えのない「VPN機能設定」や「DDNS機能設定」、「インターネット（外部）からルーターの管理画面への接続設定」の有効化がされていないか確認する。

   2. VPN機能設定に見覚えのないVPNアカウントが追加されていないか確認する。

   3. 見覚えのない設定があった場合、ルーターの初期化を行い、ファームウェアを最新に更新した上、ルーターのパスワードを複雑なものに変更する。

引用：警視庁　家庭用ルーターの不正利用に関する注意喚起について

他にもテレワークで気をつけるべきセキュリティ対策は？

今回は家庭用ルーターの悪用について紹介しましたが、テレワークが普及している現在、ネットワークセキュリティについては、しっかりと対策を行わなくてはならないでしょう。  

他にもテレワークで気をつけるべきセキュリティ対策については、以下のようなものが挙げられます。

PCの基本的なセキュリティ対策

インターネットに接続することが前提のPCにおいて、何か特別なセキュリティソフトを購入しなければならないのか、といえば、そうでもありません。

まずは、基本的なセキュリティ対策を行い、情報漏洩や悪用されることを防ぎましょう。

 

・OSのセキュリティ対策機能の確認と確立

ウイルス対策機能やファイアウォール機能などがOS上で正常動作、適切な設定であることを確認します。

また、OSは最新のものにアップデートすることも重要です。

OS単体でもセキュリティは確保でき、特に最新のものであれば尚更セキュリティ対策は強固であるといえます。

 

・デスクトップの不正利用対策

いくらPCのセキュリティ対策を行っても、PCの覗き見や直接不正操作されてしまっては意味がありません。

日頃から離席時にはPCのロックを心がけるほか、サインインオプションなどを設定して、不正利用への対策を行います。

 

・アプリの管理とセキュリティアップデート

OSだけではなく、アプリもセキュリティアップデートが必要です。特にデータを開くOffice系のアプリやメール系のアプリなど、最新版を使用するようにしましょう。

サポートが終了したアプリは使い続けず、アンインストールすることがおすすめです。また、信頼のおけるサービスを利用することも重要といえます。

 

・悪意の誘導を防ぐ設定、業務に必要な操作以外を行わない

PCがウイルスなどに犯されてしまう多くは、日常的な操作が原因となっていることが少なくありません。

迷惑メール設定や安全が確保できないウェブサイトの警告表示設定など、基本的な各種設定を行います。

また、不要なソフトウェアをダウンロードしない、不要なリンクをクリックしない、不明な添付ファイルを開かない、など業務に必要な操作以外を行わないことが重要です。  

 

・業務に不要なネットワークデバイスを接続しない

業務に必要のないネットワークデバイス（ゲーム・テレビ・スマートスピーカーなど）は、ローカルエリアネットワーク内から除去しましょう。 利用していないネットワークデバイスも除去しておきます。

PCのみではなく、ネットワーク環境の安全性確保も重要です。  

セキュリティが高いネットワークとは、業務に必要最低限のネットワークデバイスのみで構築されたシンプルなネットワーク環境であるといえます。

まとめ

在宅勤務やテレワークで、個人でも情報セキュリティのリテラシーが求められるようになってきました。

家庭用ルーターが悪用され、犯罪行為に加担してしまう事例も増えているため、今一度IoT機器のセキュリティの確認が必要です。

 

サイバー攻撃や情報漏洩のリスクについて考え、個人でも基本的な対策から行っていきましょう。

その他 事例