自宅ルーター悪用の深刻な現実、IoT犯罪中継から家を守る最新対策

警察が自宅に来るIoT悪用の構図

身に覚えのないサイバー攻撃で、自宅のインターネット回線が発信元として疑われる。これは映画のような話ではなく、家庭用ルーターやネットワークカメラが乗っ取られたときに起こり得る現実です。攻撃者は自分の場所を隠すため、他人の通信機器を中継地点として使います。

問題の中心にあるのは、パソコンではなく「ネットにつながる小さな機器」です。ルーター、ネットワークカメラ、録画機、NAS、古いVPN機器などは、工場や家庭の片隅で長く動き続けます。生産設備の保守と同じで、動いているから安全とは限りません。むしろ、更新されずに放置された機器ほど、攻撃者にとって扱いやすい入口になります。

総務省やNICTなどが進めるNOTICEは、2026年5月時点で、参加ISPのIPアドレスに対するIoT機器観測総数を月1.18億件と示しています。その中には、容易に推測可能なID・パスワードの機器が月1万1315件、高リスク脆弱性を持つ機器が月2434件、リフレクション攻撃の踏み台になり得る機器が月1万2967件ありました。個人の油断ではなく、家庭のネットワーク全体を産業インフラの末端として捉える視点が必要です。

家庭用ルーターが中継地点になる仕組み

発信元IPだけでは見えない真犯人

インターネット上の通信は、外から見ると多くの場合「どのIPアドレスから来たか」で追跡されます。家庭のルーターが悪用されると、攻撃対象の企業や捜査機関からは、自宅の回線が攻撃元のように見えます。実際には、攻撃者が遠隔から家庭内の機器に命令し、その機器が通信を代理しているだけです。

この構図は、工場の現場でいえば、誰かが無人搬送車を勝手に遠隔操作し、倉庫の出入口をふさいだ状態に近いものです。所有者は機械を動かしていないのに、現場のログには自社設備が動いた記録が残ります。サイバー攻撃でも同じで、所有者の意図とは別に、所有している機器の通信記録が疑いの入口になります。

NOTICEが紹介する国内事例では、2022年秋に都内の男性宅の家庭用ルーターが企業へのサイバー攻撃に使われた疑いが浮上しました。攻撃側は何らかの方法で入手したIDと管理用パスワードを使い、外部から家庭用ルーターに接続していたとされています。男性と攻撃対象企業に接点はなく、事件とは無関係と分かった点が重要です。つまり、回線の持ち主であることと、攻撃者であることは一致しません。

米司法省が2024年1月に公表したVolt Typhoon関連の事案でも、攻撃者は米国内のSOHOルーターに感染したKV Botnetを使い、重要インフラへの攻撃活動の出所を隠していました。大半はCiscoやNetGearのサポート終了機器で、メーカーのセキュリティ更新が受けられない状態だったと説明されています。家庭や小規模事業所のルーターが、国家支援型の攻撃者にも使われる時代です。

家庭機器を束ねるボットネット

多数の機器を遠隔操作できる状態にしたネットワークは、ボットネットと呼ばれます。代表例のMiraiは、初期設定のまま使われるIoT機器を狙い、ルーターやカメラを遠隔操作可能な状態にしました。2020年公開の研究では、Miraiのライブラリを使った実験で、出荷時設定に近い4種類のIoT機器のうち3種類が感染したと報告されています。

Mirai以後の攻撃は、単に初期パスワードを試すだけではありません。2023年のMirai派生ボットネット研究では、HajimeとMoziがそれぞれ異なる脆弱性や通信方式を取り込み、かつての単一的なMirai像から分化していることが示されました。Moziは複数のルーターやDVRに関係する既知脆弱性を使い、Hajimeも別の機器群を狙います。攻撃者は、弱いパスワードと未修正脆弱性の両方を見ています。

DDoS攻撃では、ボット化した機器が一斉に標的へ通信を送り、サービスを使えなくします。さらにレジデンシャルプロキシの形で使われると、犯罪者は自分の通信を家庭や小規模事業所の回線から出ているように見せられます。FBIの注意喚起を報じたTimes of Indiaの記事では、スマートテレビ、ストリーミング機器、スマートフォン、タブレット、ルーターなどの住宅向けIPが、犯罪活動の匿名化に使われる危険が説明されています。

こうした攻撃が厄介なのは、機器の持ち主が気づきにくい点です。ルーターは感染しても普段どおり通信できることがあります。ネットが少し遅い、夜だけ不安定になる、データ使用量が増える、といった曖昧な兆候にとどまる場合もあります。製造現場で予兆保全が重要なように、家庭のネットワークでも「壊れてから対応」では遅い局面が増えています。

放置された機器を狙う攻撃者の入口

初期設定と中古機器の危うさ

最初の入口は、管理用パスワードです。NOTICEは、文字数が少ないパスワードや単純なパスワードを使うと、不正アクセスの危険が高まると説明しています。特に中古で購入したルーターを、以前の設定のまま使う状態は危険です。前の所有者や設置業者が管理情報を知っている可能性が残ります。

近年の機器では、個体ごとに異なる複雑な初期パスワードを持つ製品も増えています。しかし古い機器や安価な機器では、同じ初期IDとパスワードが広く知られている場合があります。攻撃者は人間のように一台ずつ試すのではなく、インターネット上のIPアドレスに対して自動でログインを試みます。弱い認証情報は、見つかった瞬間に大量試行の対象になります。

安全な管理方法として、NOTICEは管理用パスワードを10桁以上にし、英大文字、小文字、数字、記号を含めることを推奨しています。名前や誕生日のような推測されやすい情報を避け、複数の機器で同じパスワードを使い回さないことも重要です。スマート家電が増えた家庭では、パスワード管理アプリや紙の管理台帳を使い、機器ごとの管理者情報を整理する価値があります。

更新停止機器が残す未修正脆弱性

第二の入口は、ファームウェアの未更新です。ルーターやネットワークカメラのファームウェアは、機器を動かす内蔵ソフトです。出荷後に脆弱性が見つかると、メーカーは更新版を配布します。ここを放置すると、既に攻撃手法が知られた脆弱性を、攻撃者に開けたまま渡すことになります。

米司法省のKV Botnet事案では、大半のルーターがサポート終了状態だったとされています。サポート終了機器は、メーカーが新しい修正プログラムを出さない可能性があります。これは、製造ラインで交換部品の供給が終わった制御装置を使い続けるのと同じ構造です。動作していても、リスクは日々積み上がります。

国内でも、ネットワーク機器の脆弱性放置は重大事故につながっています。つるぎ町立半田病院は2021年10月31日にランサムウェア被害を受け、電子カルテなどが閲覧できない状況になり、2022年1月4日の通常診療再開まで大きな影響を受けました。大阪急性期・総合医療センターも2022年10月31日の攻撃で電子カルテを含む総合情報システムが利用不能となり、2000台以上のサーバーや端末を初期化して復旧しています。

家庭の読者にとって、病院の事例は遠い話に見えるかもしれません。しかし共通しているのは、ネットワーク境界の機器や運用の弱点が、実社会の停止につながる点です。国土交通省の簡易型河川監視カメラ事案では、2023年3月に一部機器の通信記録から不正アクセスの疑いがある痕跡が確認され、337台について機器交換、通信ポートの閉塞、パスワード再設定が行われました。カメラやルーターの小さな設定が、公共サービスの停止にもつながります。

第三の入口は、不用意に開いたポートです。遠隔監視やゲーム、外出先からのアクセスのために、ルーターでポート開放やポートフォワーディングを設定することがあります。必要な範囲を超えて外部から接続できる状態にすると、攻撃者に窓口を提供します。NOTICEは、DNS、NTP、SSDPがリフレクション攻撃の踏み台になり得るサービスとして確認対象に含まれると説明しています。

家庭と事業所で進む点検体制の再設計

IoT機器の防御は、個人の注意だけに押し込めるには限界があります。NOTICEは、NICTが危険性のあるIoT機器を観測し、その情報をISPに通知し、ISPが利用者へ注意喚起する仕組みを採っています。2019年2月20日に始まったプロジェクトで、総務省、NICT、ICT-ISAC、ISP、メーカー、SIerなどが連携しています。家庭のルーター管理は、通信事業者やメーカーを含む共同作業になっています。

ただし、注意喚起を受けてから動くだけでは十分ではありません。攻撃者は常にインターネット上を自動探索しており、弱い機器を発見してから悪用するまでの時間は短くなっています。NOTICEの2026年5月観測でも、Miraiに感染していると推定されるIoT機器は最大128件/日検知されています。これは、危険な機器が一度きりではなく、日々見つかっていることを示します。

今後の焦点は、製品選定と運用の分離です。ルーターを買うときは、通信速度や価格だけでなく、自動更新、サポート期間、個体ごとの初期パスワード、管理画面の二要素認証、サポート終了時の通知方法を確認すべきです。小規模事業所では、監視カメラやNASを「設備」として固定資産管理に入れ、購入日、型番、ファームウェア、管理者、廃棄予定日を棚卸しする必要があります。

攻撃者は、家庭と事業所の境界を区別しません。在宅勤務、クラウド会計、ネットワークカメラ、スマートロックが広がるほど、家庭の機器は企業や地域インフラに接続する端末になります。製造業で安全柵や保守点検表が当たり前であるように、家庭ネットワークにも点検表を持ち込む段階に入っています。

今日から確認すべき家庭ネットワーク

まず実施すべきは、家にある「インターネットにつながる機器」の棚卸しです。ルーター、Wi-Fi中継機、ネットワークカメラ、テレビ、録画機、スマートスピーカー、太陽光発電の計測装置、古いタブレットまで書き出します。使っていない機器は電源を切り、外部公開設定やポート開放が残っていないか確認します。

次に、管理用パスワードを機器ごとに変更し、ファームウェアを最新化します。自動更新がある機器は有効にし、サポート終了機器は買い替え候補にします。プロバイダやNOTICEから注意喚起が届いた場合は、迷惑メールと決めつけず、公式サイトや契約先の窓口から真偽を確認してください。

最後に、家族で「無料VPN」「無料動画視聴端末」「非公式アプリ」の扱いを決めることです。レジデンシャルプロキシの悪用では、利用者が知らないうちに自宅回線が他人の通信に使われます。警察が来る前にできる対策は、難しい専門作業ではありません。機器を把握し、更新し、古いものを外すという、地味な保守を続けることです。

参考資料:

• NOTICE | みんなで守る、IoT。
• ルーター / ネットワークカメラに潜むリスク | NOTICE
• ルーター / ネットワークカメラの乗っ取り事例 | NOTICE
• 最近の観測状況 | NOTICE
• 脆弱なIoT機器の観測方法 | NOTICE
• ルーター / ネットワークカメラの安全な管理方法 | NOTICE
• NOTICEとは | NOTICE
• NICTER観測レポート | NICT-情報通信研究機構
• サイバー空間をめぐる脅威の情勢等 | 警察庁
• インターネットの安全・安心ハンドブック | NCO
• U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure | U.S. Department of Justice
• Testing And Hardening IoT Devices Against the Mirai Botnet
• The End of the Canonical IoT Botnet: A Measurement Study of Mirai’s Descendants
• 報道発表資料：配信を停止している簡易型河川監視カメラの再開について | 国土交通省
• 調査委員会報告書について | 大阪急性期・総合医療センター