テレワークの盲点「家庭用ルーター」、企業ネットワークへの裏口となるリスク

背景

テレワークが定着する中、従業員の自宅ネットワーク環境が企業セキュリティの新たな弱点として浮上しています。特に、家庭用Wi-Fiルーターは、購入時の初期設定のまま使用されているケースが多く、管理者パスワードが「admin」のまま、ファームウェアが何年も更新されていない、不要なリモート管理機能が有効化されているなど、脆弱性の温床となっています。攻撃者がこれらの家庭用ルーターを乗っ取ると、従業員が自宅からVPN経由で企業ネットワークに接続する際の通信を傍受したり、中間者攻撃（MITM）で認証情報を窃取したり、マルウェアを注入したりすることが可能になります。企業の境界防御がいくら強固でも、従業員の自宅という「管理外の環境」が侵入口となる事態が現実化しています。

実態

家庭用ルーターへの攻撃は、主に既知の脆弱性を悪用する形で実行されます。多くの家庭用ルーターには、過去にリモートコード実行やコマンドインジェクションの脆弱性が発見されていますが、一般ユーザーがファームウェア更新を定期的に実施することは稀です。攻撃者はShodanなどのIoT検索エンジンを使って、特定のモデルや脆弱なファームウェアバージョンのルーターを自動的に検索し、大量に侵害します。侵害されたルーターは、DNS設定を改ざんされ、ユーザーが正規のURLにアクセスしようとしても偽サイトに誘導される「DNSハイジャック」攻撃に利用されます。また、ルーター内部のトラフィックを監視し、VPN接続時の認証情報やセッション情報を盗み取る攻撃も確認されています。さらに、ルーターをボットネットの一部として悪用し、DDoS攻撃の踏み台にされるケースもあります。企業にとって特に危険なのは、従業員が自宅から社内システムにアクセスする際、侵害されたルーターを経由することで、企業の機密情報が第三者に筒抜けになるリスクです。

影響と対策

家庭用ルーターの脆弱性を突かれると、テレワーク従業員の全ての通信が危険に晒され、VPN認証情報の漏えい、業務データの傍受、マルウェア感染などが発生します。対策としては、まず企業として「テレワーク環境のセキュリティガイドライン」を策定し、従業員に配布することが重要です。具体的には、ルーターの管理者パスワードを強固なものに変更する、ファームウェアを最新版に更新する、不要なリモート管理機能（UPnP、WPS等）を無効化する、ゲストネットワークと業務用ネットワークを分離する、といった基本対策を明文化します。技術的対策としては、企業側でゼロトラスト・ネットワークアクセス（ZTNA）を導入し、VPN接続時に端末の健全性だけでなく、接続元ネットワークのリスク評価も行う仕組みが有効です。FortiClientやCheck Point Harmony Connectなどのエンドポイントセキュリティソリューションは、接続元環境の安全性を検証し、リスクの高い環境からのアクセスを制限する機能を提供します。また、企業支給のモバイルルーター（セキュアなLTE/5Gルーター）を従業員に配布し、家庭用ルーターを経由せずに企業ネットワークに接続させる方法も検討に値します。

まとめ

テレワーク時代のセキュリティ境界は、もはや企業のファイアウォールではなく、従業員の自宅にまで拡張されています。管理外の環境をゼロから信頼せず、継続的に検証するゼロトラストの考え方が不可欠です。PSI社では、テレワーク環境を含めた包括的なセキュリティ対策として、ZTNAソリューションの導入支援、テレワークガイドラインの策定サポート、そして従業員向けセキュリティ教育プログラムをご提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp