https://www.itmedia.co.jp/news/articles/2007/15/news011.html

新型コロナウイルス感染症対策として、国内でも多くの企業がテレワークを採用しています。いずれはオフィス勤務に戻す企業も多いと思いますが、中には日立製作所や富士通のように、今後はテレワーク主体で業務を進めると宣言する企業も出てきています。育児や介護といった家庭の事情を抱える従業員を中心に、部分的にテレワークを継続する企業もあります。

　テレワーク中でもオフィスで働く時と同様、IT環境のセキュリティ対策は不可欠です。内閣サイバーセキュリティセンター（NISC）はこのほど公開した文書で、「新しい生活様式」に向けたセキュリティ対策の指針を紹介しています。

　具体的には（1）テレワーカーの増加や対象業務の拡大があった場合はセキュリティリスクを再評価すること、（2）支給端末・支給外端末に関わらず、利用端末のOSや関連アプリケーションをアップデートすること、（3）社員がインターネット回線や公衆通信回線経由で社内システムに接続している場合は対策を見直すこと――などです。

　この文書はとても参考になりますが、テレワーク時の要注意ポイントに触れていないように思います。それは「家庭用ルーター」のセキュリティです。

「テレワーク時には、VPNを用いてエンドツーエンドで暗号化しているから安心と考えがちです。しかし、そもそもルーターが不正アクセスを受けてしまうと、通信先を改ざんされたり、場合によっては通信自体できなくなって業務が止まってしまう恐れがあります」と、IoTに特化したセキュリティサービスを提供するゼロゼロワンの萩原雄一CEOは警鐘を鳴らします。

　セキュリティの役割の一つは、企業が業務をつつがなく継続できるようにすることです。しかし、テレワークの広がりに伴って、事業継続性が家庭用ルーターのセキュリティに左右される状況になっています。

格安ルーターのサポート体制に要注意

　新型コロナの影響で勤務先が急きょテレワークの導入を決めたため、家電量販店や中古ショップ、通販サイトなどで販売されている安価なルーターを急いで購入したという人は多いでしょう。テレワーク環境整備を支援するため社員に補助金を支給する企業も出てきたほどです。

　問題は、このとき、きちんとサポート期間内にあり、アップデートを適用して最新の状態を保ったルーターが使われているかどうかです。

　「ルーターのサポート体制はメーカーによってまちまち。きちんとファームウェアをバージョンアップし続けている企業もあれば、そうでないところもあります。安価だからとオークションサイトなどで調達したルーターを業務に使うのは危ないです」（萩原さん）

　萩原さんがこう述べるのには根拠があります。ゼロゼロワンが開発しているIoT機器の情報を可視化する検索エンジン「Karma」で調査してみると、脆弱（ぜいじゃく）な状態でインターネットにつながっていたり、あるいはせっかくファームウェアをリリースしてもそれが適用されていなかったりと、メーカーが想定しない状況で運用されている機器が想像以上に多いことが分かってきたそうです。

Wi-Fiにただ乗りされる恐れも

　同社の調査では、もっと深刻な問題も明らかになりました。「複数のメーカーが提供するルーターで、初期設定のSSIDとMACアドレスから、ある一定の数式に基づいてWPAキーを算出できることが確認できました。それでもルーターへのログイン設定をきちんと行っていればいいのですが、中には隠しアカウントが用意されており、簡単にログインできてしまう機器もあることが判明しています」（萩原さん）

　つまり、攻撃者がスマホのWi-Fi設定をオンにしたまま町中を歩き回ってSSID情報を収集すれば、そこからWi-Fiにただ乗りし、ルーターにログインして設定を変更される危険性があるわけです。もしそれが、テレワークで社内システムへのアクセスに使われている場合、侵害の糸口になる恐れもあります。対策は、アカウント同様、初期設定のまま使い続けるのではなく、SSIDも独自の文字列に変更することです。

　「なんとなく初期設定のWPAのまま家庭用ルーターを利用している人は少なくないでしょうが、実はそれは非常に危ないことです。今までは『家庭用ルーターに問題があっても、動画とかが見られなくなるだけでしょ』という程度の問題でしたが、テレワークが広がる中では、ビジネスの継続性が損なわれる問題になってしまいます」（萩原さん）

　ゼロゼロワンではこの問題についてメーカーに報告したほか、一部は情報処理推進機構（IPA）経由で脆弱性情報を届け出て、対応を待っているそうです。攻撃者に悪用される事態を避けつつ対応を広げるにはどのように情報を発信するのがいいか、関係省庁とも相談しながら検討しているといいます。

連絡を受けたメーカー側の対応はさまざまで、萩原さんによると「真摯（しんし）に取り組みたいとおっしゃるベンダーもあれば、消極的な対応にとどまっているところもあります」という具合だそうです。こうした話を聞くに付け、ルーターをはじめとする通信機器のライフサイクルやサポート期間を真剣に検討しなければいけないという課題を痛感します。

「前の前の前の世代」の機器が使われている

　情報通信研究機構（NICT）による注意喚起もあり、通信／IoT機器のセキュリティを巡る状況は確かに改善の方向に向かっています。しかし「急に好転するわけではなく、底上げには時間が必要」（萩原さん）なのも事実です。現に、警察庁が運営するセキュリティ情報サイト「＠Police」がたびたび注意喚起している通り、ルーターなどに何らかの脆弱性が発覚すると、すぐにその悪用を狙ったアクセスの増加が観測される状態です。

　先日正式版をリリースしたKarmaには2500万件以上の機器情報が登録されており、独自のシグネチャを用いて、メーカー名だけでなくモデル名やファームウェアのバージョンまで把握できるそうですが、これで確認してみると「いまだにこんなに古い、前の前の前の世代の機器が使われているんだと、メーカーが驚くようなモデルが使われていたりします」と萩原さんはいいます。

　「テレワークによって自宅の設備がビジネスの根幹を担うようになったのに、その基盤を担うのが10年前のルーターというのは考え物です」

ただ、メーカーの立場からすると、リリースした機器全てを永遠にサポートし続けるのは不可能です。以前は10年選手の機器が動き続けるのは当たり前だったかもしれませんが、これからの時代はきちんとサポート期間を区切り、その中で脆弱性対応という責任を果たし続けるスタイルに移行すべきではないでしょうか。もちろん利用者もそれを理解して、適切な期間内に買い換えることが求められるでしょう。

　そのため萩原さんは今後、Karmaから得られた結果とメーカーのサポート期間を照らし合わせ、サポート切れの製品を告知する機能などもKarmaに追加していければと考えているそうです。Karmaで分析したデータをメーカーやベンダーに提供し、ファームウェアのバージョンアップなどにつなげてもらう活動や、エンドユーザー向けの啓蒙（けいもう）活動にも注力する予定です。

　「古いルーターを使い続けることには危険が伴うことを伝えるため、これからは情報発信に注力します。特に、サポートが打ち切られた機器の問題については、積極的に注意喚起していきたいと考えています」と萩原さんは話しています。

サイバー攻撃の件数は年々増えています。特に在宅勤務が進んだコロナ下では、侵入経路が増えて攻撃しやすい環境になっています。遠隔で制御する工場も例外ではありません。6月にはホンダがサイバー攻撃を受けて、世界の9工場がストップしました。ネットの闇市場ではサイバー攻撃で得たとみられる企業の機密情報が高値で取引されています。

他にも明るみに出ていない被害があるとみられます。「テレワークを拙速に導入したことでシステムに欠陥を抱える日本企業の情報が、ハッカーの間で大量に流通している」とイスラエルの企業は警鐘を鳴らしています。現に日本企業のセキュリティー対策は後手に回っています。中長期のサイバー対策計画を立案した企業は24%どまり。米国企業は7割を超えています。

情報を窃盗して身代金を要求する「ランサムウエア」と呼ばれるウイルスによる被害額は、19年に推計75億ドル（約8000億円）。ランサム攻撃では基幹システムや工場など企業活動の生命線が狙われやすく、鉄道や病院といったインフラ系企業の被害も目立ちます。欧州では情報管理を怠った企業に数百億円の制裁金を科すケースもあります。セキュリティー対策はあらゆる企業にとって喫緊の課題です。