情報セキュリティの脅威はすぐそこに

自宅のルーターのファームウェア、上げてますか?

今月、JPCERT/CCが「Mirai」の亜種による感染活動が活発化しているとして注意喚起をしました。

「Mirai」は主に脆弱なIoT機器に感染するマルウェアで、ネットワークカメラやハードディスクレコーダなどに感染し、 攻撃などを行うボットとして悪用されます。この感染したボットによるトラフィックが増加しているということを踏まえての注意喚起というわけです。

特に国内においてはロジテック製のブロードバンドルーターが感染しているケースが多いとのことです。このルーターは2009年から2013年にかけて発売されたモデルで、感染のきっかけになる脆弱性は2013年11月から2014年10月の間に公開されたファームウェアによって修正されています。つまり対象のモデルは出荷時にはほぼ全てに脆弱性が存在するということになり、自動アップデートの機能はないとのことなので、ユーザーが能動的に更新作業をしない限り修正はされないということにもなります。

近年、「IoT機器の脆弱性」の問題は度々指摘されますが、もはやほぼ「一家に一台」は存在しており、しかもインターネットとの接続点であるブロードバンドルーターの脆弱性は、他のどんな機器よりも危険が高いと言えます。

ただし、そもそもで言うと「ルーターのファームウェアをアップデートしなければならない」ということはあまり周知されていないということも事実でしょう。

かつてはWindows Updateですら一般家庭レベルではあまり周知されておらず、普通の白物家電と同じで「買った時の状態でずっとそのまま使える」と思われていました。そして白物家電の場合、経年劣化に伴う目に見える動作不良(冷蔵庫なら「冷えない」、洗濯機なら「回らない、異音がする」)が生じますが、パソコンやルーターなどの場合で特にこのような外部から攻撃を受けるような脆弱性の発見は簡単には気づきにくいという特徴もあります。

このような一般レベルでの認識を踏まえて、Windows Updateはデフォルトで適用を強いられるような仕組みになりましたし、ルーターなども製品によっては自動アップデートの機能を備えているものもあります。また同じくIT化が進んでいるテレビやハードディスクレコーダーなどでは、地上波の電波を使って自動アップデートが行われる製品すら当たり前に存在します。

 

とはいえ、IT機器だろうが白物家電だろうが定期的なメンテナンスが必要だということは忘れてはいけません。この辺りは「認識の醸成」の問題なのだと思いますが、なかなか進まないこともまた事実です。

それこそ家電や電子機器に限らず、どんなものであってもメンテナンスが必要だということはちょっと考えれば当たり前のことですが、世の中には面倒くさがりの人が想像以上に多いのか、「モノを手入れしてちゃんと使う」ことが意外とされないものです。