Dr.セキュリティ®

【新サービス】脆弱性診断(セキュリティ診断)のサービスを受注開始しました
→ 費用を抑えるコツの記事も公開中です

社名変更のお知らせ - 旧社名:LTセキュリティ から、新社名:Dr.セキュリティ へ変更しました

ホワイトハッカーが教える
Wi-Fiルーターのハッキング/乗っ取り
の実態と確認方法

『通信を制するものは世界を制す』という言葉があります。
Wi-Fiルーターが攻撃者の手中に落ちると、企業内/家庭内の全体が強い危険にさらされます。
ぜひこのページをお読み頂き、Wi-Fiルーターのセキュリティ対策および乗っ取り確認方法を知って下さい。

この記事を書いた人

Dr.セキュリティ®
代表技術者 冨田 圭介

DFプロ認定資格保有
① CDFP-B(基礎資格)
② CDFP-P(実務者資格)
冨田 圭介

事例図解を交えながら、
ルーター乗っ取りの対策・確認方法をご説明します。

当ページでは法人向けの内容を軸にし、そこに個人向けの内容を加える形で書いています。Wi-Fiルーターのハッキング/乗っ取りに関するネットの記事は、主に個人(一般家庭)をターゲットとする比較的やさしい内容の記事が多いですが、ここではより一歩踏み込んだ内容をお伝えするために法人向けの内容をベースとしております。

途中途中でちょっと難しい話が入りますが、細かいところは完全に理解できなくても良く、対策や確認方法などの大まかな流れや「雰囲気」を知るだけでもプラスになることがあるはずですので、ぜひ最後までお読み頂けますと幸いです。

Wi-Fiルーターのハッキング/乗っ取りは、
皆さまが思うよりも深刻な脅威です。

世間でのパソコンやスマホに対するセキュリティ意識は年々高まりつつあるようですが、しかしWi-Fiルーターを含む「ネットワーク・セキュリティ」に関しては、ほとんどの方が無関心のままです。
中小企業や一般家庭では「一度もメンテナンスしたことがない」という企業・家庭もかなり多いです。そこに付け入るように攻撃者に狙われ、不正アクセスやマルウェアなどのハッキングは増え、そして乗っ取られて悲惨な情報漏洩事故が起こるケースが度々発生しています。

そんな背景から、報道やベンダーなどの民間団体による注意喚起だけでなく、警視庁や総務省などの行政機関からも注意喚起されるようになりましたし、ガイドラインも策定されつつありますし、裏を返せばそれだけ深刻な状況だと言えます。しかしもともと世間一般では無関心なわけですから、注意喚起の声は一般ユーザーまで届きにくく、危険な状況がなかなか改善されずにいます。

潜伏型の脅威

Wi-Fiルーターなどネットワークに対するサイバー攻撃は、とても気が付きにくいです。
パソコンやスマホと違って画面がないですし、日常的に人の目に触れるような物でもないので異変に気が付きにくいです。
そのため長期間に渡って潜伏され、まったく気付かないまま何ヶ月も情報漏洩し続ける、というケースがよくあります。

ここで質問します。
『ルーターの管理画面を最後に見たのはいつですか?』

9割以上の人の回答は、「一度も見たことがありません」とか、「何ヶ月/何年も前だと思います」という答えになるはずです。

もうひとつ質問します。
『そのルーター、絶対に安全だと言い切れますか?』

当ページの後半でハッキング/乗っ取りの確認方法を説明しておりますので、ぜひ参考にして下さい。

ご不安なときは、フォレンジック調査などの
調査サービスをご検討ください

当社はデジタル・フォレンジックが専門の調査会社です。
パソコンやスマホ、サーバ、ネットワーク等のIT環境を広く調査可能です。
情報漏洩などでお困りのときはぜひ当社の調査サービスをご利用下さい。

Wi-Fiルーターなどのネットワーク機器が乗っ取られているか否か、ご自身でも半信半疑という方が多くいらっしゃいます。
『乗っ取られてる? いやまさか・・・でもやっぱり・・・』というように。
そのようなときは当社の調査サービスをご検討ください。

Wi-Fiルーターが乗っ取られるとどうなる?

【例1】ネットワークに侵入され、LAN内の全ての機器がハッキングされ得る。

ネットワーク侵入の図

【例2】他の第三者に対するサイバー攻撃の踏み台にされ得る。

踏み台型サイバー攻撃の図

【例3】LANの中の機器を勝手にインターネットに公開され得る。

勝手に公開の図

Wi-Fiルータがハッキングされて乗っ取り被害に遭うと、上記のようなリスクが生じます。
以下でそれぞれを説明します。

かなり深刻度が高い
ネットワーク侵入型のハッキング

ネットワーク侵入と言ってもピンと来ない人の方が多いと思いますが、下の図を見れば、ただ事ではないとお分かり頂けるでしょう。
ネットワーク侵入型サイバー攻撃の図

多数の端末がサイバー攻撃の対象となる

上図のように、社内または家庭内のネットワーク(LAN)の中に侵入されると、LANケーブルやWi-Fiで繋がるLAN内の機器が縦横無尽にサイバー攻撃を受け得る状態となります。つまり多数の端末がマルウェア感染(ウイルス感染)、遠隔操作、情報窃盗などのリスクを負うという非常に危険な状態になります。

LANの内側におけるサイバー攻撃には弱い

LANの内側のセキュリティは「性善説」に基づいて運用されることがほとんどです。
LANの外側にはサイバー攻撃するような悪い奴が沢山いますが、「内側(社内または家庭内)に、そんな悪い奴はいないはず。」と考えるのが普通ですし、だから内側のセキュリティは弱いことが多いです。そのため、ひとたびネットワーク侵入が起こって内側でのサイバー攻撃が発生すると、LAN内の多数の機器が乗っ取られてしまう危険性があります。

外部に「飛び火」するリスクもある

LANの中だけでなく、外部のサーバーやクラウドにも攻撃が展開されるリスクがあります。
例えばメールサーバ、SNS、業務用システムなど、LANの中のパソコン等で使用するサーバー/クラウドにも侵入され得るのです。

また、近年ではリモートワークのための仕組み(VPN)が用意されていることも多く、その場合はLANだけでなくリモートワークで繋がる機器およびネットワークにもサイバー攻撃が展開されるリスクがあります。例えば従業員の自宅のLANが最初に侵入され、その次にVPNで繋がる職場のLANにも被害が拡大するおそれがあるのです。

自分が加害者になってしまう
サイバー攻撃の踏み台

Wi-Fiルーターをハッキングされると、被害を受けるのはその所有者だけとは限りません。乗っ取られたWi-Fiルーターが遠隔操作されて、他の犯罪に悪用されることもあります。
他の犯罪へ悪用される図

踏み台の事例で典型的なのは企業や行政機関などを狙うDDoS攻撃などのサイバーテロですが、その他にも情報窃盗やデータ破壊を目的とするサイバー攻撃も起こり得ます。また、踏み台にする=(イコール)攻撃の発信元を偽装できることから、詐欺や脅迫などの犯罪の「隠れ蓑」にされる(冤罪・スケープゴートにされる)という恐れがあります。

誰でもアクセス可能に!?
インターネットに公開

Wi-Fiルーターには外・内を隔てる「門扉」としての役割があります。
Wi-Fiルーターの防御の図
通常ですと上図のように、外側(インターネット側)から内側(LAN側)に入るための門扉は閉じられ、意図しない者が侵入できないようになっています。

しかしハッキングによって門扉が開放され、LANの中がインターネットに公開されてしまうと、下図のように不特定多数の者がLANに侵入できてしまいます。
多数のハッカーが侵入する図
こうなると情報を盗み出すのは犯人一人だけとは限らないです。最初の犯人とは別のハッカーが門扉の開放に気付いて侵入してくるリスクがありますし、また、ネット掲示板やダークウェブ等で「あそこの門は開いたままだよ。」と暴露されると、それを見た不特定多数の者に侵入される恐れがあります。

Wi-Fiルーター乗っ取りの原因

原因① 脆弱性

脆弱性とは、平たく言うとセキュリティの「欠陥」です。Wi-Fiルーターに脆弱性がある状態において、攻撃者が脆弱性を突くハッキング(エクスプロイト攻撃)をおこなうと、Wi-Fiルーターが高確率で乗っ取られ、ウイルス感染や遠隔操作などやりたい放題な状態になってしまいます。

原因② 設定ミス

実は結構多い原因です。不慣れな人によるうっかりミスや、自動設定バッチの誤作動など、意図せずに誤った設定になってしまい、そこが穴となって乗っ取られることがしばしばあります。
ほか、機器を設置に来た業者の作業が杜撰だったというケースもあります。(設置業者が適当すぎるパスワードを設定していたケースを何度も見ました。「0000」や「password」など…)

原因③ 保護レベルの引き下げ

意図的に、または危険性を知らずに、Wi-Fiルーターのセキュリティ設定で保護レベルを引き下げて使用されていることが時々あり、それが原因で攻撃者にハッキングされるおそれがあります。

【例1】古いWi-Fi機器
古いゲーム機や情報家電など新しい暗号技術に対応していない機器を使用するために、Wi-Fiルーターの暗号方式で古くて弱いものが設定され、そこが突破口となってハッキングされるリスクがあります。

【例2】メンテナンス機能の悪用
遠隔サポートなどを目的としてネットワーク機器にメンテナンス用の出入り口が開けられていることもあり、そこが侵入口となってハッキングされるリスクがあります。

Wi-Fiルーターのハッキング類型

パターン① インターネット越しにハッキング

インターネットからのハッキングの図

最も多い類型です。インターネット越しの遠隔操作でおこなわれる非接触型のハッキングのため、海外ハッカーが活発におこなっていますので、Wi-Fiルータを使用している全ての企業・家庭が標的になり得ます。

パターン② Wi-Fi接続してハッキング

Wi-Fiからのハッキングの図

Wi-Fi電波が届く範囲でのハッキングのため、被害を受ける確率はかなり低いかと思います。
しかしこのタイプのハッキングは、高度なハッキング技術ではなく「パスワード推測」や「パスワード盗聴」などのやり方でも起こり得ます。特に、古いWi-Fiルーターの場合ですと、海外通販で入手できるお安いハッキングツールでもパスワード盗聴できる場合があり、なかなか高リスクです。

パターン③ LAN内の機器を踏み台にしてハッキング

LAN内の機器からのハッキングの図

巧妙なフィッシング/スミッシングなどによりパソコンやスマホがマルウェアに感染し、そこからさらにWi-Fiルーターに対する攻撃が展開されるという流れです。

パターン④ 来客の端末から飛び火

来客の端末から飛び火する図

特に法人の場合は来客が多いので、十分に注意が必要なリスクです。
来客のパソコンがウイルス感染していて、それを会社のWi-Fiに繋げたら社内LANに侵入された、というケースがけっこうあります。

Wi-Fiルーターのハッキング/乗っ取り対策

まず最初に、目新しい情報ではないので既にご存じの方も多いかと思いますが、一般論としてのハッキング/乗っ取り対策の方法を4つ挙げます。

  1. Wi-Fiルーターのファームウェアをアップデートする。
  2. Wi-Fiルータの管理画面のログインパスワードを強化する。
  3. Wi-Fiの接続パスワードを変更する。
  4. Wi-Fiの暗号方式を強力な方式に変更する。

続いて、もう一歩踏み込んだ話をします。
分かりやすいように喩えますと、「木を見て森を見ず」な対策ではダメです。
森の健康を管理するためには、一本の木を注視するだけでは足りず、森全体を見渡さなければなりません。
ネットワーク・セキュリティに関しても同様で、Wi-Fiルーター単体のセキュリティ対策だけでは足りず、ネットワーク全体を見渡さなければなりません。

先述の4つの対策だけでも、Wi-Fiルータ「単体」のセキュリティはかなり向上します。しかしWi-Fiルータだけでなくネットワーク「全体」としてのセキュリティは、ご使用環境の全体を見てセキュリティ対策を講じなければなりません。
そしてご使用環境は各企業・各家庭ごとに千差万別ですので、必要となるセキュリティ対策も各企業・各家庭ごとに異なる内容となります。

使用環境をイメージして頂きたいので、企業・家庭それぞれの例を挙げます。
まず企業の例を挙げますと、事業内容や施設の種類によって使用される機器は様々です。オフィスの場合は多数のPCとOA機器、飲食店は注文用のタブレット端末、病院は医療機器、工場は工作機器やセンサーなどなど、事業所ごとに使用する機器は様々です。

次に家庭の例を挙げますと、家庭ごとに「十人十色」とでも言いますか、家庭内で使用される機器は本当に様々です。ゲーム機を使う家庭もあれば、そうでない家庭もあります。同様にスマート家電、防犯カメラ、お仕事用パソコンなどを使用する/しないも家庭ごとに様々です。
このように各企業・各家庭で「森」を構成する要素は千差万別ですし、必要となるセキュリティ対策もそれぞれ異なる内容となる、というわけです。

ですので、先に述べていた一般論としての4つの対策は、あくまで「基本中の基本」として捉えて下さい。実際のセキュリティ対策の現場ではこれらを最低限のものとして、さらにご使用環境に合わせて他の対策も併用することとなります。
その例を次からご案内します。

ネットワークのハッキング/乗っ取り対策 ①
使用機器の『棚卸し』

管理者が把握していない謎の機器がWi-Fiルーターに繋がっていることが良くあります。
例えば法人の場合は社員が勝手に持ち込んだデバイスとか、一般家庭の場合は家族が買ってきた目新しいガジェットなど。
また法人・個人の両者とも、既に使われなくなった古い機器がWi-Fiに繋がったままになっていることもあります。例えば「便利かも?」と思いつきで買ったスマート家電が放置されていたり、前任者が退職して用途がよく分からない機器が放置されていたりなど。

このような無管理状態の物は攻撃者に狙われがちです。
特に下記の2つの物は致命的な脆弱性があることが多く、これらがネットワーク内部に存在するのはなかなかリスキーだと理解して下さい。

  1. 海外製の安価なIoTデバイス(Wi-Fi接続する防犯カメラや家電)
  2. 古いWindowsパソコン(10年前の物など)

Wi-Fiルーターに何が繋がり、どのように使用されているのかを把握することはネットワークセキュリティを講じる上で重要なポイントですので、まずはそれを棚卸しし、危険そうな物/良くわからない物がないかご確認下さい。

ネットワークのハッキング/乗っ取り対策 ②
セグメント分割

小さな会社や一般家庭にはほとんど知られていないのですが、適宜にネットワークを区切る(セグメントを分ける)というセキュリティ対策がとても効果的です。
ネットワーク内を区切らずに全ての機器を並列で扱う場合、全体としてのセキュリティのレベルは「LAN内で最も弱い機器のレベルにまで落ちる」と考えて下さい。
セキュリティの強さのグラフ
区切る前の図

この問題を解決するためには、セキュリティのレベルが高いものと低いものを分けて運用すると良いです。
区切った後の図
上図のように区切ればネットワークセキュリティが適切に確保され、LAN内の機器のセキュリティリスクを下げ、ひいてはWi-Fiルーターがサイバー攻撃の対象となる確率を大幅に減らすことができます。

【補足】
セグメンテーション(区切り方)の最適化はなかなか奥が深いので、自力でおこなうのは難しいはずです。そのため通常はネットワーク・インテグレーションの会社などに依頼することとなります。
もし「どこに依頼したら良いか分からない」という場合、法人のお客様でしたら当社から協力会社をご紹介可能です。

ネットワークのハッキング/乗っ取り対策 ③
脆弱性診断/ネットワークスキャン

当ページ内の「Wi-Fiルーター乗っ取りの原因」のところでご説明いたしましたが、乗っ取りの原因は、①脆弱性、②設定ミス、③保護レベルの引き下げ、という3つがあります。
これらを検出するためのサービスとして、「脆弱性診断」や「ネットワークスキャン」というものがありますので、以下でご案内いたします。

【法人の場合】

法人の場合ですと、脆弱性のチェックを手動でおこなうのはなかなか困難です。その理由は2つあり、一つは端末の数が多いのと、もう一つは一般家庭のようにベーシックなネットワーク構成ではないことが理由で、手動で一つ一つチェックしていくのは大変に手間がかかるからです。そのため通常は自動検査のツールを用いて脆弱性スキャン等をし、自動処理ができない部分に関してのみ技術者が目視点検するという方法によっておこなわれます。

大きな会社の場合はセキュリティの専門スタッフを雇用して自社でおこなっているところもありますが、中小企業では外部の専門会社に依頼して実施するのが一般的です。

なお、サーバーなどのITシステムは「アップデートすると不具合を起こす」ということも多いため、一般家庭と違い「とりあえずアップデートしておけば良し。」という対策はおこなえず、スキャン後の対応に関しては慎重に検討する必要があります。場合によってはアップデートを断念し、代替措置を取らざるを得ないケースもよくあります。そのため、もっぱらネットワークだけをやっている業者でなく、サーバーやシステムのセキュリティにも長けている業者を選択するのが望ましいです。

【個人の場合】

法人と違って個人の場合は端末の数が少なく、かつ、ネットワークシステムは一部の例外を除いてベーシックな構成(最小構成)になっていることがほとんどですので、手動で簡易的にチェックできる部分が多いです。ただしある程度の専門知識が必要となりますので、自力でおこなうのは難しいかと思います。そのため外部の専門会社に依頼して実施するのがベストなのですが、しかし個人の場合は費用面の問題も大きいです。

本格的な脆弱性診断等ではなく、家庭/小規模オフィス向けの簡易的な診断ならば費用を抑えることはできます。とは言え、セキュリティエンジニアが出張してオンサイト作業するのですから、けっして安いものではありません。

そのため個人のお客様の場合は、どうしても脆弱性診断をしなければならない事情がある場合を除いて、代替案として下記の2つをおこなうほうがお勧めです。

  1. LAN内で使用する全ての機器の、OSとアプリをアップデートする。
  2. Wi-Fiルーターを新しい機種に買い替える
先述の通り、法人の場合はアップデートによりシステムが不具合を起こすリスクが少なからずあるので無闇にアップデートするのは避けるべきですが、一般家庭の場合はサーバー等の心配はほぼ無いので、とりあえずアップデートするという方法をとれます。
また、新しいWi-Fiルーターではファームウェアの自動アップデート機能がある製品もありますので、そのような製品に買い替えればとても効果的な脆弱性対策となります。

ネットワークのハッキング/乗っ取り対策 ④
セキュリティ製品/サービス

【法人の場合】

次の枠内に書く説明は、とてもわかりにくい専門用語をわざと含めています。あえてそうしていますので、流し読みで良いのでお目通し下さい。

法人向けのセキュリティ関連製品は数え切れないほどあり、ネットワーク関連ではNGFW, IDS/IPS, UTM, DPIなど、エンドポイントではEPP, EDR,ITAM,MDMなど、目的に合わせて様々な製品/サービスがあり、さらにアプライアンス型/オンプレミス型/クラウド型というような違いもあり、そしてそれらの運用管理に関してはMSS, SOCなどといったアウトソーシングもあります。

上の説明ですと『何を言っているのか良くわからない』という人がほとんどだと思います。
だからこそ、セキュリティベンダーやコンサルなどの専門家に相談すべきです。

法人において情報漏洩などのインシデント(事故)があったときは、ほぼ間違いなく責任追及されます。

そしてそのときに、セキュリティ対策の「一般的な水準」を満たしているか否かに焦点が当たります。

もし一般的な水準を満たしていない場合、有責と判断される可能性が高いです。そうならないよう一般的な水準を満たさなければなりませんが、『そもそも一般的な水準ってどれぐらいなの?』という問題があります。
一般的な水準とは、画一的に基準が定められているわけではなく、事業内容、規模、保有データの性質などに合わせて判断されることのため、一概に「こうすれば良し」と言うことができません。
だから、専門家に相談したうえでセキュリティ製品の導入を検討すべきなのです。この業界ではこうするのが一般的、この種のデータを扱い場合はこうするのが一般的、というようなことはベンダーやコンサルがよく知っています。
当社でも中小企業向けにセキュリティ対策の相談を受け付けておりますので、良くわからない場合は是非一度ご相談ください。

【個人の場合】

残念なことに、家庭用のセキュリティ製品/サービスは選択肢がそれほど多くありません。なぜかというと「買う人が少ないから」です。

優れたセキュリティ製品/サービスが新発売された。
しかし一般ユーザーのセキュリティ意識はとても低く、買う人は少なかった。
その結果、販売終了し、後継製品も開発されず、そのタイプの製品は消滅した・・・
という歴史を繰り返しています。

一般ユーザーのセキュリティに対するコスト感覚は無茶苦茶にシビアです。ウイルス対策ソフトなど、基本的なセキュリティ対策すらお金をかけたくないのが本音でしょう。そんな中、どんなに素晴らしいセキュリティ製品を開発しても、なかなか売れないという悲しい現実があります。

また、法人用のセキュリティ製品は個人で契約できないことが多く、その点も個人における選択の幅を狭めています。仮に個人契約が可能な製品があったとしても、法人向け製品はそれなりに費用がかかりますので導入ハードルはなかなかに高いです。
このような背景から、個人がネットワークセキュリティの製品を導入するのは難しい状況にあります。

有名メーカー製のWi-Fiルーターでは、オプションのサービスでセキュリティ機能を契約できるタイプの製品もあります。法人向けセキュリティ製品と比べると機能・性能は限定的ですが、ノーガードよりも断然にレベルアップしますので、そのようなセキュリティ機能付きのWi-Fiルーターに買い替えるのはとても良い対策となります。

ただし回線やプロバイダとの契約内容によってはルーターの交換が簡単にできないことも結構あるかと思います。そのような場合は残念ながら、設定や運用方法を工夫してリスクを減らすほかになさそうです。

Wi-Fiルーターの
ハッキング/乗っ取りの確認方法

Wi-Fiルーターがハッキングされて乗っ取られると、下記のいずれか又は複数の現象が起こる可能性があります。

  1. 設定が改竄され、通常は無効になっているはずの機能が有効になる。
  2. 不明なファイル/ディレクトリが保存される。
  3. 異常なプロセスやコマンドが実行される。
  4. C&Cサーバ(司令サーバ)など攻撃用のサーバーに接続する。
  5. 意図しないファイアウォール設定やルーティング導通。
  6. 不明な機器がWi-Fi接続した記録がある。
  7. プロバイダーから警告が来る。(大量の通信が発生してネットが遅くなる)
これらの現象からWi-Fiルーターがハッキングされたか(乗っ取られたか)を判断できますので、各現象/痕跡の有無を探すこと =(イコール) ハッキング/乗っ取りの確認方法となります。

ただし、これらの現象が起こる「可能性がある」ということにご留意下さい。
これらの現象が起こらないケースもあり、また、これらが起こったとしても気付きにくい/表面化しにくいやり方で乗っ取られている可能性もあります。特に近年の攻撃者は長期間に渡って潜伏できるようにステルス性の強いやり方を好む傾向にありますので、調査の難易度も年々高まっています。そのためこれらを確認するだけで100%正確な判断はできません。

とは言え、異常な設定や記録などといった「目に見える現象」はとても分かりやすい判断材料ですので、ぜひともチェックしたいものです。そのやり方を以降で一つずつご説明します。

ハッキング/乗っ取り確認方法 ①
設定改竄の確認

「VPN」「DDNS」のいずれか、または両方の設定が改竄される場合があります。
VPN設定が改竄されると、攻撃者がリモートでネットワーク内に侵入できるようになります。
DDNS設定が改竄されると、インターネットからネットワーク内の機器にアクセスできるようになります。
両者の違いが分かりにくいかと思いますが、細かい説明を割愛して平たく言いますと、攻撃者が遠隔操作を簡単にするための設定改竄だとご理解下さい。

VPN/DDNSの両者とも、最初から設定されているとか、知らない間に自動設定されるということはまずないです。リモートワーク等の関連で自ら設定したという場合は除きますが、それをしていないのにVPNやDDNSが勝手に設定されている場合は、ハッキングされた・乗っ取られた可能性がかなり高い状態だと言えます。

VPNおよびDDNSの設定状態は、Wi-Fiルーターの管理画面から確認できます。その管理画面の表示方法は製品ごとに異なりますので、Wi-Fiルーターの取り扱い説明書をお読み下さい。もし説明書を紛失してしまった場合は、メーカーWebサイトでダウンロードできるはずですので、製品型番(品番)などでWeb検索してみて下さい。

ハッキング/乗っ取り確認方法 ②
異常ファイル/ディレクトリの確認

※この確認方法は業務用製品に限定されます。
ほぼ全ての家庭用のWi-Fiルーターは、中に保存されているファイル等を確認するための機能が用意されていませんが、法人向けの業務用製品の場合はそれが可能なため、ファイル等を確認することでマルウェア(ウイルス)の感染を検出できる可能性があります。
ただし、ファイル名やファイルパスを見ただけではマルウェアだと分からないことも多いので、ファイルをUSBメモリ等にコピーし、パソコンで内容をチェックするとか、ウイルススキャンするなどして確認すると良いです。

ハッキング/乗っ取り確認方法 ③
異常プロセス/コマンド等の確認

※この確認方法は業務用製品に限定されます。
ルーター機能を内包するゲートウェイ機器では、OSにLinuxを採用している製品も多くあります。その場合はpsコマンドを使用して不審なプロセスがないか確認することができます。RAT系の遠隔操作の場合はこれで検出できる可能性があります。
ただしプロセス名は擬態されているケースもありますので、「不審なプロセスがないから安心だ」とは判断しないようにして下さい。

ファイルレス攻撃/LOTL攻撃による遠隔操作の場合は、コマンド履歴やログイン履歴に痕跡が残る可能性があります。Linuxのコマンド履歴は標準設定の場合「.bash_history」というファイルに記録され、ログイン履歴は「wtmp」というファイルに記録されますので、これらを確認することでハッキング/乗っ取りを検出できる可能性があります。
ただし、攻撃の手口によってはコマンド操作やログイン処理を伴わないケースもありますので、「不審な履歴はないから安心だ」とは判断しないようにして下さい。

ハッキング/乗っ取り確認方法 ④
C&C接続の確認

ボットネット系の遠隔操作の場合、C&Cサーバ(司令サーバ)と接続する通信が必ず発生しますので、通信履歴のIPアドレスを検査することでハッキング/乗っ取りの有無を精度良く確認することが可能です。

法人のシステム環境の場合、通信ログやプロキシのログなど、何らかのログに接続先サーバーのIPアドレスが記録される仕様になっていることが多いので、まずはそれらのログを収集し、そしてC&CのIPアドレスを検査するという方法が効果的です。

個人の場合ですと、残念ながらほとんどの家庭向け製品ではログを記録する仕様になっていないので、LANアナライザーなどでパケットを記録して検査するという方法が効果的です。とは言えそれを一般の方がおこなうのはいささか無理がありますので、個人の方でC&C接続を調査したい場合は当社のような専門企業にご依頼頂くのがベストです。

ハッキング/乗っ取り確認方法 ⑤
ファイアウォール/ルーティングの確認

意図しないファイアウォールやルーティングの設定が乗っ取り事案に関係しているケースがあります。

  • 意図しないファイアウォールの設定により、Wi-Fiルーターに意図しない「穴」が空いてしまった。
  • 意図しないルーティングの設定により、LANの中に意図しない「経路」が作られてしまった。
もしこれらのような意図しない穴や経路がありましたら、それがハッキング/乗っ取りに関連している可能性は少なくないと考えられます。
ただし、ハッキングではなく設定ミスにより穴が開いた可能性もあります。「ハッキングかと思ったら、実は作業した人の設定ミスだった。」という可能性もあるという意味です。
そのため、ファイアウォール等を確認してもハッキングの有無を正確に断定することはできず、下記の3パターンの仮定が成り立つに留まるということに留意して下さい。
  1. ハッキングによって穴が開けられた可能性。
  2. 設定ミスで穴が開き、そこから侵入&乗っ取り被害を受けた可能性。
  3. 設定ミスで穴が開いてしまったが、まだ乗っ取りには至っていない可能性。
もし穴および経路の他にも異常な現象がある場合には、乗っ取りの可能性は高まることとなります。
例えば、覚えのないルーティングが設定されていて、しかもDDNSも設定されているような場合は、乗っ取られている可能性が極めて高いと考えられます。このように他のチェック項目と合わせて総合的に見て危険性をご判断下さい。

さて確認方法に関してですが、ファイアウォールもルーティングもルーターの管理画面にてご確認いただけるはずです。ファイアウォールに関しては、どのWi-Fiルーターでも「ファイアウォール」という設定メニューがあるかと思います。ルーティングに関してはWi-Fiルーターの機種ごとに設定メニューの名前が異なるようですが、多くの場合は「NAT」や「IPマスカレード」という文字を含む設定メニューがそれに該当するはずです。

ハッキング/乗っ取り確認方法 ⑥
不明なWi-Fi接続機器の確認

「Wi-Fiのタダ乗り」という言葉があるほど、他人がWi-Fi接続で侵入してくるケースがよくありました。ただしそれが流行ったのは一昔前の話で、比較的新しいWi-Fiルーターの場合はタダ乗りしにくくなっていますので、以前ほどの脅威はなくなりました。とは言え古いWi-Fiルーターを使用している場合は未だにリスキーですし、新しいWi-Fiルーターだとしても「パスワード推測」などの簡単なやり方で侵入されるリスクもあります。ですので念の為Wi-Fiルーターの管理画面で接続機器をご確認頂いたほうが良いです。

ハッキング/乗っ取り確認方法 ⑦
プロバイダーからの警告の確認

Wi-Fiルーターがハッキングされ、乗っ取られ、そして攻撃者に遠隔操作で「悪用」された場合には、後日にプロバイダーからユーザーに対して警告が発信されることがあります。 全てのケースでそういうわけではないのですが、明らかに異常で、かつ他人に迷惑をかけてしまっているケースでは警告が発せられることが多いようです。

その流れを知れば理解しやすいかと思いますので、これまでに私が対応した事例のうち、典型的な例を紹介します。

  1. サイバー攻撃によりハッキングされた。
  2. 乗っ取られ、遠隔操作される状態となった。
  3. 遠隔操作され、スパムメール配信やDDoS攻撃など、他人に迷惑をかける通信が大量に発生した。
  4. プロバイダーに苦情が入った。
  5. プロバイダー側で調査したところ、ハッキングの被害者の自宅からとんでもなく大量の通信が発せられていたことがわかった。
  6. プロバイダーからハッキングの被害者に対して、「大量の通信が発生したようです。ウイルスに感染していないかご確認下さい。」というような旨の警告が発信された。

警告は書面で送られる場合と、メールで送られる場合があるようです。
書面ならほとんどの人は見過ごしませんが、メールの場合ですとよくある詐欺メールに埋もれてしまい気が付けないこともあり得ますので、警告メールが届いていないか、プロバイダーに登録されているメールアドレスの受信トレイを検索してみて下さい。
もしそれがあればハッキングされた可能性はかなり高いと判断できます。

ただし、もし警告が無くても安全だとは断定できないことにご注意下さい。
プロバイダーからの警告が届かないケースも多々あります。というか、届かないケースのほうが多いはずです。
他人に迷惑がかかって、その他人から苦情が来た場合には警告が発せられる可能性は高いですが、スパムやDDoSなどといった分かりやすい事象が無いケースでは誰も気付かないし苦情を言う人もいないので、プロバイダーからの警告もありません。

セルフチェックが難しい場合は、
当社の調査サービスをご検討下さい。

当社ではWi-Fiルーターの調査はもちろん、その他の機器や環境を調べるネットワーク・フォレンジックのご依頼もお受けしております。セルフチェックできない場合や、それだけでは不安というときには、ぜひ当社の調査サービスをご検討下さい。

ルーターのセキュリティ調査

ルーターのハッキング/乗っ取りの有無を確認したいときにご検討下さい。
東京23区:税込33万円~
それ以外の地域:税込44万円~
※調査費用の他に消耗品や交通費等がかかります。

【調査内容】

  • 当ページでご案内した確認方法のうち、⑦を除いて実施可能な項目を調査します。
  • 現地環境においてルーターをスキャンし、LAN側のセキュリティの状態を調査します。
  • 外側からルーターをスキャンし、WAN側のセキュリティの状態を調査します。

ネットワーク・フォレンジック調査

ルーターに限らず、ネットワーク系のインシデントに関する調査に対応いたします。
出張型:税込33万円~
非出張型:税込22万円~
※調査費用の他に消耗品や交通費等がかかります。

【調査内容】
お客様が目的とする内容により調査内容が異なりますが、基本的には下記のどちらかをおこないます。

  • 通信パケットをキャプチャーして解析する調査
  • お客様から提供されるデータ(通信ログやパケットデータなど)の調査

【調査目的の例】

  • PCフォレンジックの補完のために。
  • ネットワーク内に潜伏しているボットの洗い出し。
  • LAN内の端末における危険なサービスなどの利用状況の把握。
  • 無許可端末や放置デバイスなど、不明デバイスの洗い出し。
  • デバイス同士の異常な通信の検出。
  • ネットワーク内部での横展開の検出。
  • ネットワーク盗聴器の発見。
上記は一例です。例にない場合でもぜひ一度ご相談下さい。

【セキュリティ調査とフォレンジック調査の違い】

Wi-Fiルーターのセキュリティ調査は、その名のとおり、「ルーターのセキュリティの状態」の確認を目的とする調査です。
ルーターの設定が改竄されていないか、異常な穴がないかなど、セキュリティの状態を調べるものです。

もう一方のフォレンジック調査は、「ネットワークにおける動作の状態」の確認を目的とする調査です。
ルーターより内側のネットワーク(LAN)の中で、不審な動きをしている機器がないか、異常な通信が送受信されていないかなど、動作の状態を調べるものです。

このような違いがありますので、ルーターを調べるのかLANを調べるのかによって、どちらが適しているかが分かれます。

こちらも読まれています