見出し画像

NURO光はセキュリティ的にやばい(安全に使う方法)

exp_noto

要約

NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が無効 または 未搭載 の可能性があるので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。

この資料を対象とする人

何も考えずに速度が速いだけでNURO光を使っている、「とりあえず使っている」人向けです。
ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなくていいです。読まなくていいです。

IPv6 と IPv4 のセキュリティ

ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか?について説明します

IPv4 の場合

一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を利用し、家庭内で共有することで複数のPCやスマホからインターネットを利用することができます。(NAPTと呼ばれる機能)

この機能により、インターネットから見えるものはルータ1台だけでルータの下に接続されているPCやスマホはインターネットから一切見えないようになっています。
また、ルータはデフォルトの設定でインターネット側から着信した通信をすべて破棄する設定となっているためインターネット側から家庭内LANにアクセスすることはできません 。

万が一攻撃されてもすべてのパケットが破棄され、家庭内LANへ入ってくることはできないわけです。

画像1

IPv6 の場合

一般的にIPv6アドレスは1契約につき1セグメント以上のブロック(1ブロックあたり /64。普通の家庭では利用しきれないくらいのアドレス数)でアドレスが付与され、すべてのPCやスマホ等にインターネットからアクセスができるグローバルIPが付与されます。

つまり、IPv4に存在していた「ルータ」が実質的に存在せずインターネットから直接PCやスマホにアクセスすることができます
もちろん、PCを攻撃する目的でのアクセスをしてきたとしても、PCまでアクセスが到達してしまいます。

画像2

インターネットから直接アクセスできると起こる問題点

・ PCの中にあるデータが抜かれる可能性がある
    ・ データが一度インターネットに出ると回収不可能になります
・ PCがウイルスに感染する可能性がある
     ex. wannacry事件など
・ データが破壊されたり、回復不可能になります
・ PCを中継され「◯◯駅を爆破します」などと掲示板に書かれます
     ex. PC遠隔操作事件
     中継された可愛そうな大学生が自白強要されて人生が崩壊した事件

更に、流石にいないと思いますが企業でこの状況になっている場合は以下のような楽しいことが発生する可能性があります。

・ 共有ストレージ上の機密情報がインターネットからアクセスし放題
・ プリンタから印刷し放題

IPv6 ファイアウオール(FW) 機能

一般的な回線事業者から貸し出されるHGWにはIPv6 FWと呼ばれる機能が実装されており、 インターネットから着信する通信を破棄する設定になっているため、外からの攻撃はHGWによって防ぐ事ができるようになっています。
つまり、この機能がルータに備わっていない場合はインターネットから攻撃が可能になります。

HGWは回線事業者から貸し出されるルータのこと。NTTの「ひかり電話ルーター」やケイオプトコムの「eo光多機能ルーター」などのこと。

この機能はWindowsやMacOS、Linuxなどの殆どのコンピュータにも備わっており、利用者が意図して無効にしない限り保護されている形になります。
しかし、IoT家電や無線のアクセスポイントの場合、ファイアウオールがそもそも存在していない、ファイアウオール自体は存在しているが何らかのバグで実は全く機能していない。等の場合があります。
考えたくないですが Raspberry Pi を初期パスワードのまま運用していたりするとすぐに攻撃の標的になります。

画像3

各回線事業者別 HGW の IPv6 FW の実装状況

画像4

③NTTのHGWが利用できる状態かを確認する方法は 「ひかり電話」を契約している場合。ひかり電話を契約していない場合は 「PPP」ランプが緑/橙点灯している か「オプション」ランプが緑に点滅していないければ利用可能。詳しい契約はNTTかコラボレーション事業者に聞いてください。筆者はあなたがどういう契約しているかは全く知りません。
取説に記載あり

NURO光でIPv6 FW が実装されているか確認する

NURO光の「ご提供する機器に関して」にて確認してみたところ、対応している機材と対応していない機材がありました。
FWが実装されてないってどういうこと!?

画像5

⑤取扱説明書にIPv6 FWに関する詳しい記述がない。
⑥IPv6 FW がないという報告あり

機材別のIPv6 FW有効化方法

ここでは、NURO光を安全に利用するための方法を説明しています。

ここから先は

3,146字 / 1画像

¥ 1,980

期間限定 PayPay支払いすると抽選でお得に!

この記事が気に入ったらサポートをしてみませんか?