家庭用Wi-Fiルーターが不正アクセスの温床に？警視庁が発表した注意喚起の内容とは

iPhoneやiPad、PCなどを自宅で利用する際に、家庭用Wi-Fiルーターに接続している方も多いのではないでしょうか。「OSのアップデートをしているから安全」、または「セキュリティ対策ソフトをインストールしているから安全」と考えていても、実は家庭用Wi-Fiルーターが不正アクセスの温床となるケースが増えています。

そのような背景もあり、2023年3月警視庁では「家庭用ルーターの不正利用に関する注意喚起」を発表しました。本記事では、家庭用Wi-Fiルーターにどういったセキュリティ上の懸念があるのか、警視庁が発表した内容や正しいセキュリティ対策のポイントなどもあわせて紹介します。

1 家庭用Wi-Fiルーターの一般的なセキュリティ対策
2 家庭用Wi-Fiルーターに用いられている暗号化規格
3 家庭用Wi-Fiルーターを使用する際のセキュリティ上の懸念点
- 3.1 初期設定のパスワードを変更せず使用している
- 3.2 ファームウェアのアップデートをしていない
4 警視庁が発表した家庭用ルーターの不正利用に関する注意喚起
- 4.1 「家庭用ルーターの不正利用に関する注意喚起」の内容とは
5 悪用されやすい家庭用Wi-Fiルーターの設定とは
6 家庭用Wi-Fiルーターが不正利用されるとどういった影響がある？
- 6.1 データが盗まれる
- 6.2 サイバー攻撃の踏み台にされる
7 家庭用ルーターの不正利用を防ぐ方法
8 家庭用Wi-Fiルーターを買い替える際のポイント
9 iPhone・iPadを安全に使用するために家庭用Wi-Fiルーターのセキュリティを見直そう

家庭用Wi-Fiルーターの一般的なセキュリティ対策

固定のインターネット回線に家庭用Wi-Fiルーターを接続し使用する場合、一般的にはアクセスポイントに接続するためのパスワードを入力します。

iPhoneやiPad、PCなどを接続する際には、設定したパスワードの入力が求められ、パスワードを知らない第三者が勝手にアクセスすることを防ぎセキュリティの安全性を担保しています。また、パスワードを設定することで通信を暗号化し、第三者が通信を傍受することを防ぐ役割も果たしています。

家庭用Wi-Fiルーターに用いられている暗号化規格

家庭用Wi-Fiルーターで用いられる暗号化の規格には、主に以下のような種類があります。

WEP

家庭用Wi-Fiルーターが登場した頃に用いられていた暗号化規格がWEPです。その名の通りWEPキーとよばれる共通鍵を使用して暗号化しますが、同じパスワードを繰り返し使用するため脆弱性が高く、データを改ざんされていてもそれに気付かないという問題があり、今ではほとんど使用されていません。

WPA

WEPの問題点を解消するために採用されたのがWPAです。つねに同じ共通鍵で暗号化をするのではなく、一定の時間が経過すると自動的にパスワードが変更される仕組みを採用しています。ただし、WEPに比べてセキュリティは向上したものの、パスワードの解読が100%不可能というわけではなく脆弱性は残ったままでした。

WPA2

WPAをさらに改善したものがWPA2です。暗号化方式の仕組みを根本から見直したことで、WPA2によって暗号化したデータは解読不可能なまでになりました。現在多くの家庭用Wi-FiルーターでWPA2は採用されていますが、実は2017年にWPA2の脆弱性が発見されたことから、100%安全とはいえないのが現状です。

WPA3

WPA2の問題を解消するために生まれたのがWPA3です。一般家庭はもちろんのこと、政府機関や軍事施設などでも使用できるほどの強力な暗号化技術に対応し、さらにはIoT機器のネットワーク接続も安全にできるようになりました。WPA3は2018年に登場した比較的新しい規格ですが、WPA3対応のネットワーク機器も続々と販売されています。

現在用いられている暗号化規格は殆どWPA2かWPA3。WPA3は強力な暗号化技術を達成。

家庭用Wi-Fiルーターを使用する際のセキュリティ上の懸念点

家庭用Wi-Fiルーターは正しいセキュリティ対策を講じていないと、さまざまなセキュリティ上のリスクが生じます。特に代表的なセキュリティ上のリスクを紹介しましょう。

初期設定のパスワードを変更せず使用している

家庭用Wi-Fiルーターを購入したとき、初期設定としてランダムなパスワードが設定されており、必要に応じてルーターの設定画面からユーザー自身が任意のパスワードへ変更することも可能です。

しかし、多くのユーザーは任意のパスワード設定方法がわからなかったり、そもそも変更することが面倒に感じたりして初期設定のパスワードをそのまま使用しているケースも少なくありません。
メーカーによっては数字のみの文字列でパスワードが構成されていることもあり、容易にパスワードが推測され不正アクセスの被害に遭うリスクが高まります。

ファームウェアのアップデートをしていない

家庭用Wi-Fiルーターは、PCやスマートフォンと同様に定期的にファームウェアをアップデートし、最新の状態に保っておくことが求められます。また、家庭用Wi-Fiルーターは一度購入すれば半永久的に使用できるものではなく、iPhoneやPCなどと同様にサポートが終了する時期がやってきます。

ところが、家庭用Wi-Fiルーターのファームウェアをアップデートできることを知らなかったり、サポートが終了していることを把握していなかったりするケースも多いのです。

ファームウェアのアップデートができていなかったり、サポートが終了していたりすると、セキュリティの脆弱性が高まり、不正アクセスのターゲットとなるリスクが高まります。

警視庁が発表した家庭用ルーターの不正利用に関する注意喚起

従来、家庭用Wi-Fiルーターは正しくパスワードを設定しておけば不正アクセスのリスクは低いとされてきました。しかし、2023年3月、警視庁は「家庭用ルーターの不正利用に関する注意喚起」を発表し、以下のようなリスクがあることを公表しました。

「家庭用ルーターの不正利用に関する注意喚起」の内容とは

警視庁が今回発表した内容は以下の通りです。

今回確認された手法は、一般家庭で利用されているルーターを、サイバー攻撃者が外部から不正に操作して搭載機能を有効化するもので、一度設定を変更されると従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態となってしまう手法です。
詳しくは警視庁のホームページ「家庭用ルーターの不正利用に関する注意喚起について」をご確認ください。

上記の内容をわかりやすく言えば、外部からの不正アクセスによって、家庭用Wi-Fiルーターの設定がいつの間にか変更されるというものです。

本来、家庭用Wi-Fiルーターの設定はユーザー自らが管理画面を開かなければ変更することができません。しかし、家庭用Wi-Fiルーターに脆弱性がある場合、不正なプログラムを使用することで第三者が管理画面にアクセスでき、容易に設定を変更できてしまうのです。

悪用されやすい家庭用Wi-Fiルーターの設定とは

「家庭用Wi-Fiルーターの設定が変更される」と聞いただけでは、漠然としてイメージがつかみづらいでしょう。今回、警視庁が注意喚起を行った主な項目は、家庭用Wi-Fiルーターのなかでも特に外部との接続機能に関わる項目です。具体的には、以下の4項目が挙げられます。

VPN機能設定
VPNアカウント
DDNS機能設定
インターネットからの管理画面への接続設定

VPNとは?

VPNとは、外出先などから自宅のネットワークへ安全にアクセスするためのセキュリティ設定です。海外メーカーの家庭用Wi-Fiルーターを中心に機能として組み込まれています。

特に重要なのが、VPN機能およびVPNアカウントの項目です。一般的に、自宅の中だけでインターネットを使用するのであれば、VPNの設定はOFFの状態で問題ありません。一方で特殊なインターネットサービスを利用する場合や、安全にIP電話を使用する場合など、VPNの設定が求められるケースがあります。そのような場合には、設定の前に見覚えのない不審なVPNアカウントが追加されていないか確認しておくことが大切です。