ESETは2020年7月9日(米国時間)、運営するセキュリティ情報のポータルサイト「WeLiveSecurity」の記事「Popular home routers plagued by critical security flaws|WeLiveSecurity」において、ほとんどの家庭用ルータがセキュリティ上の重大な危険にさらされていると警鐘を鳴らした。
専門家によると、主要ベンダー7社が販売している127個の家庭向けルータを調査したところ、ほぼすべてのルータがサイバー攻撃のリスクにさらされており、多くの場合、深刻なセキュリティ欠陥を抱えたまま放置されていることが判明したという。
-
Popular home routers plagued by critical security flaws | WeLiveSecurity
この報告の元になった調査結果は、次のレポート(PDF)にまとめられている。
この調査では、主に次の観点に基づいて家庭用ルータのセキュリティに関するチェックが行われた。
- デバイスが最後に更新されたのはいつか
- 利用しているOSのバージョンと、それらのOSのバージョンに影響する既知の重大な脆弱性はいくつあるか
- ベンダーがどんな保護技術を使用しており、どのくらいの頻度でそれをアクティブにしているか
- ファームウェアイメージがプライベートな暗号鍵マテリアルを含んでいるか
- ハードコーディングされたログイン認証情報があるか
その結果、セキュリティ上の欠陥を持たないルータは皆無であり、とくに1年以上にわたってセキュリティアップデートが行われていないルータが46個あって、仮に最新のアップデートを取得している場合でも多くの既知の脆弱性が修正されないまま残っていることが判明したとのこと。また一部のルータには、簡単に解読可能なパスワードがユーザーに変更できない形でハードコーディングされており、第三者でも簡単にログインできてしまう状態にあったという。
OSについても、90%以上のデバイスがLinuxを搭載しているものの、そのうちの多くが古いバージョンのままであり、重要度の高い脆弱性が修正されないままになっているという問題が指摘されている。このレポートでは、最終的に「欠陥のないルータはなく、セキュリティ面で完璧な仕事をするベンダーもいないことが判明した」と結論づけている。WeLiveSecurityでは、ルータのセキュリティを強化する一般的な方法を実践するなど、自衛の手段を講じることを勧めている。
