この記事は、米国サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity and Infrastructure Security Agency)に基づいて作成されています。
https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-194a
ネットワーク機器の見直しが急務
2026年7月、米国CISA(Cybersecurity and Infrastructure Security Agency)は、NSA、FBIをはじめとする17か国以上の政府機関と共同で、「Improve Router Hygiene to Protect Against Russian State-Sponsored Targeting」と題したサイバーセキュリティアドバイザリを公開しました。
今回のアドバイザリは、新たなゼロデイ脆弱性や未知の攻撃手法を公表したものではありません。
ロシア政府系攻撃者が10年以上継続して行っているルータへの攻撃について、現在も基本設定が不十分な機器が数多く存在していることから、各国政府機関が改めて注意喚起したものです。
そのメッセージは明確です。
高度な攻撃よりも、基本的な設定不備が最大のリスクである。
なぜルータが狙われるのか
サーバやPCは定期的にアップデートやセキュリティ対策が実施される一方で、ルータやファイアウォールなどのネットワーク機器は、一度導入すると数年間設定を見直さずに運用されるケースが少なくありません。
攻撃者にとってルータは、
- ネットワーク全体の構成
- VPN設定
- 管理者認証情報
- 通信経路
など、組織全体の情報が集まる非常に価値の高い機器です。
そのため、「忘れられた資産(Forgotten Asset)」となりやすいネットワーク機器は、継続的な攻撃対象となっています。
「狙いはルータではなく、その先のネットワーク」
今回の攻撃で狙われているのは、ルータそのものではありません。
攻撃者の本当の目的は、
- 社内ネットワーク
- サーバ
- クラウド環境
- VPN接続先
へ侵入するための足掛かりを得ることです。
ルータから取得した設定情報や認証情報を利用して、さらに組織内部へ侵入し、長期間にわたり活動を継続することが目的とされています。
攻撃の流れ
今回のアドバイザリで示されている攻撃は、比較的シンプルな流れです。
- インターネット上のネットワーク機器を広範囲に探索
- 設定不備や既知の脆弱性がある機器を発見
- ネットワーク機器の設定情報や認証情報を取得
- VPNや管理者権限を利用して社内ネットワークへ侵入
- 他のシステムへ横展開し、継続的なアクセス基盤を構築
参照サイト内のPDFでは、この攻撃の流れと、それぞれに対応する防御策が分かりやすく整理されています。
攻撃は自動化されている
今回特に重要なのは、
攻撃者は個別企業を狙っているわけではない
という点です。
攻撃者はインターネット上のネットワーク機器を自動的にスキャンし、設定不備や脆弱性を持つ機器を機械的に探しています。
つまり、
「狙われるかどうか」ではなく、「見つかるかどうか」
が問題になります。
設定に不備があれば、企業規模に関係なく攻撃対象となる可能性があります。
「基本設定の不備」が最大の原因
今回のアドバイザリで繰り返し指摘されているのは、
設定不備こそ最大のリスク
という点です。
例えば、
- 初期設定のまま運用
- 古い管理プロトコルの利用
- 初期パスワードや弱い認証情報
- 不要な管理機能が有効
- ファームウェア未更新
といった状態が、攻撃者に悪用されています。
これは高度なサイバー攻撃というよりも、基本的な運用管理の問題であると言えます。
中小企業にも関係する
今回のアドバイザリでは、通信、金融、政府機関、医療など重要インフラが主な対象として挙げられています。
しかし、攻撃そのものはインターネット全体を対象とした自動スキャンで行われるため、
- 中小企業
- 地方自治体
- 支店・営業所
- 小規模事業所
なども例外ではありません。
ネットワーク機器の設定不備があれば、組織規模に関係なく攻撃対象となる可能性があります。
CISAが推奨する対策
CISAは、特別な製品を導入するよりも、ネットワーク機器の基本的なセキュリティ設定を見直すことを推奨しています。
主な対策は次のとおりです。
- ネットワーク機器の設定を定期的に見直す
- 初期設定や初期パスワードを変更する
- 管理機能へのアクセスを必要最小限に制限する
- 不要な管理機能を無効化する
- ファームウェアを最新の状態に保つ
- サポート終了(EOL)機器を更新する
- ログを監視し、不審なアクセスを早期に検知する
SNMPは停止、または安全な運用へ
今回のアドバイザリでは、SNMP(Simple Network Management Protocol)の設定についても重点的に言及されています。
SNMPはネットワーク機器の監視・管理に利用される仕組みですが、古い設定や初期設定のまま運用されていると、攻撃者に悪用される可能性があります。
そのためCISAは、
- SNMPを利用していない場合は無効化する
- 利用が必要な場合でも、安全な設定へ見直す
ことを推奨しています。
今すぐ確認したいチェックリスト
この機会に、次の項目を確認してみましょう。
- □ 初期設定や初期パスワードのまま運用していないか
- □ 不要な管理機能を有効にしていないか
- □ 利用していない管理プロトコルは停止しているか
- □ 管理画面をインターネットへ公開していないか
- □ ファームウェアは最新か
- □ サポート終了機器を利用していないか
- □ ネットワーク機器のログを定期的に確認しているか
まとめ
今回のCISA共同アドバイザリは、新たな脅威を知らせるものではありません。
10年以上続く攻撃に対し、今なお多くのネットワーク機器が基本設定の不備によって危険な状態にあることを改めて警告したものです。
攻撃者が狙っているのはルータではなく、その先にある企業や自治体のネットワークです。そして、その攻撃は自動化されており、大企業だけでなく中小企業も例外ではありません。
サイバー攻撃対策というと、高度な検知システムや最新のセキュリティ製品に目が向きがちですが、まず重要なのはネットワーク機器の基本的な設定と継続的な運用管理です。
ルータやファイアウォールは、一度設置すると見直しが後回しになりやすい「忘れられた資産」です。この機会に、設定や更新状況を確認し、自組織のネットワークセキュリティを改めて点検してみてはいかがでしょうか。
参考:お使いのルータに既知の脆弱性がないか確認する
ネットワーク機器の設定を見直すだけでなく、利用しているルータ自体に既知の脆弱性が存在しないかを確認することも重要です。
F-Secureでは、無料で利用できるRouter Checkerを提供しています。
F-Secure Router Checker
https://www.f-secure.com/en/router-checker
このツールでは、ルータのメーカーや型番を入力することで、
- 既知の脆弱性(CVE)の有無
- 影響の概要
- セキュリティ上の推奨事項
を確認できます。脆弱性情報は、米国の**National Vulnerability Database(NVD)**をもとに提供されており、専門的な内容も分かりやすく要約されています。
なお、このツールはルータの型番に対する既知の脆弱性を調査するものであり、実際のルータへアクセスして診断するものではありません。 そのため、脆弱性が表示された場合は、メーカーから提供されている最新ファームウェアへの更新状況や、サポート終了(EOL)の有無もあわせて確認することをお勧めします。
著者紹介
山田幸志
MS365認定アドミニストレーターエキスパート、情報処理安全確保支援士。
Microsoft 365を中心としたクラウド、セキュリティ、インフラ領域を専門とするITエンジニア。
でも得意分野はLinux/仮想化。
日本最古のITコミュニティの幹事や、日本最大のネットワークオペレーター会議の実行委員長、セキュリティイベントやGadgetイベント発起人など、数多くの技術コミュニティの運営に携わる。コミュニティ活動を通じて幅広い知見と実践的なスキルを磨き、現場で得た経験や技術情報を発信している。







