ネットワーク機器を購入してそのまま使っていませんか?ルーターやスイッチの「出荷時設定」は攻撃者がよく知るデフォルトパスワードや不要なサービスが有効なまま出荷されています。
この記事では、ルーター・スイッチ・無線アクセスポイント(AP)のハードニング(堅牢化)手順を、情シス1人体制の中小企業でも今日から実践できるレベルで解説します。「どこから手をつければいいかわからない」という方向けに、機器別の優先設定を具体的な手順付きでまとめました。
ネットワーク機器のハードニングとは?
ハードニング(hardening)とは、システムや機器の「攻撃に対する耐性を高める設定作業」のことです。日本語では「堅牢化」と訳されます。
ネットワーク機器(ルーター・スイッチ・無線AP)のハードニングとは、具体的には次のような作業を指します。
・デフォルト認証情報の変更: 出荷時のID/パスワードから固有のものに変更する
・不要なサービスの無効化: Telnet・HTTP管理画面・UPnP等を停止する
・管理インターフェースへのアクセス制限: 接続できるIPアドレスやネットワークを限定する
・ファームウェアの最新化: 既知の脆弱性にパッチを当てる
・ログの有効化: 不審な操作の証跡を記録する
「そんな基本的なことか」と感じるかもしれません。しかし現実として、IPAの調査では中小企業のネットワーク機器の多くが出荷時設定のまま運用されています。攻撃者はその現状を知っているからこそ、侵入の糸口としてネットワーク機器を最初に狙います。
デフォルト設定が狙われる理由
攻撃者がネットワーク機器を最初の標的にするのには、明確な理由があります。「なぜ机上の対策が現場で機能しないか」を理解するためにも、攻撃者の視点から見ておきましょう。
1. デフォルトパスワードは公開情報
メーカーのマニュアルやネット上のデータベースには、主要機器のデフォルト認証情報が公開されています。加えてShodan(インターネット接続機器の検索エンジン)を使えば、管理画面をインターネットに公開している機器を瞬時に特定できます。
実際の攻撃シナリオはシンプルです。Shodanでポート80/443/8080を開放しているルーターを探し、メーカーを確認し、デフォルト認証情報を試す。この手順だけで、デフォルト設定のまま放置された中小企業のルーターは数分で侵入されます。手動操作すら不要で、スクリプトで自動化されているケースが大半です。
2. 不要なサービスが内部ネットワークを露出させる
デフォルトで有効になっているUPnP(Universal Plug and Play)は、内部デバイスが外部へのポート開放を自動要求できる仕組みです。ゲーム機やIoT機器の利便性のために設計されたものですが、マルウェアが悪用して外部のC2サーバー(攻撃指令サーバー)との通信チャンネルを開くバックドアとして利用されます。
Telnetも同様です。平文で認証情報を送受信するTelnetが内部ネットワーク上で有効になっていると、ARPスプーフィングによるパケット傍受で管理者パスワードが平文のまま盗まれます。「内部ネットワークだから安全」という考え方は、内部脅威や境界突破後の横展開リスクを考えると成り立ちません。
3. ファームウェアの脆弱性が放置され続ける
ルーターやスイッチのファームウェアには定期的にセキュリティパッチが提供されますが、多くの組織でアップデートが行われていません。2025年にJPCERT/CCが注意喚起した複数のSOHO向けルーター脆弱性では、認証なしでコマンドを実行できるリモートコード実行(RCE)の問題が報告されています。
ファームウェアは「一度入れたら終わり」ではありません。セキュリティパッチの適用を継続することが、長期的なリスク管理の基本です。
ルーター・スイッチ・無線APの設定変更手順
機器別に、優先度の高い設定変更を具体的な手順付きで解説します。設定変更前には必ず現状のコンフィグをバックアップしてください。変更作業は業務時間外に実施することを強く推奨します。
1. ルーターのハードニング
管理者パスワードの変更(最優先)
デフォルトの「admin/admin」「admin/password」から、12文字以上のランダム文字列に変更します。ルーターの管理画面URL(多くは192.168.1.1または192.168.0.1)にアクセスし、「System」または「Administration」セクションから変更できます。パスワードはパスワードマネージャーで管理し、平文のメモには残さないようにしましょう。
# 管理者パスワード変更後の確認(Cisco IOS系の例) Router# show running-config | include username username admin privilege 15 secret $8$xxxxxxxx # リモートログインをSSHのみに限定する Router(config)# line vty 0 4 Router(config-line)# transport input ssh Router(config-line)# access-class 10 in # アクセスリスト: 管理用サブネット(例: 192.168.100.0/24)のみ許可 Router(config)# access-list 10 permit 192.168.100.0 0.0.0.255 Router(config)# access-list 10 deny any log
不要なサービスの無効化
以下のサービスは多くの機器でデフォルト有効になっています。使用していない場合は必ず無効にします。
・Telnet: 管理アクセスはSSHのみに限定(平文通信を排除する)
・HTTP管理画面: HTTPSのみを許可(HTTPはリダイレクトまたは完全無効化)
・UPnP: 企業環境では無効化を強く推奨(コンシューマー機器との接続がなければ不要)
・WAN側管理アクセス(リモート管理): インターネット側からの管理画面アクセスを完全遮断
・CDP/LLDP: 外部向けポートでは無効化(機器情報の漏洩を防ぐ)
ファームウェアの確認と更新
メーカーのサポートページで最新ファームウェアのリリースノートを確認し、セキュリティ修正が含まれるアップデートは速やかに適用します。EOL(サポート終了)機器は早急な更新計画が必要です。EOL機器のサポート終了日はメーカーのサイトで確認できます。
2. L2スイッチのハードニング
スイッチはルーターほど注目されませんが、VLANやポート設定の不備が内部脅威や横展開攻撃を招きます。
VLANの適切な設計
Native VLAN(タグなしトラフィックが流れるVLAN)をデフォルトのVLAN 1から専用の番号に変更します。VLAN 1は多くのスイッチでCDP(Cisco Discovery Protocol)やBPDU(スパニングツリーの制御フレーム)が流れる「管理的なVLAN」になっており、攻撃者にとって情報収集に使いやすい経路です。
# Native VLAN の変更(Cisco Catalyst系の例) Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport trunk native vlan 999 # VLAN 1のSVIをシャットダウン(管理IPは別VLANに移行後) Switch(config)# interface vlan 1 Switch(config-if)# shutdown # 未使用ポートの無効化と隔離用VLANへの割り当て Switch(config)# interface range GigabitEthernet0/10-24 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport access vlan 999
ポートセキュリティ(Port Security)の設定
接続できるMACアドレスを制限することで、不正なPCやデバイスの物理接続を検知・遮断できます。
・最大接続数の制限: 1ポートに接続できるMACアドレス数を1~2に設定する
・違反時の動作(violation mode): shutdownモードで自動的にポートを無効化する
・管理アクセスの集約: SSH/HTTPSアクセスは専用のマネジメントVLANに集約する
スパニングツリーの保護設定
STP(スパニングツリープロトコル)攻撃(BPDU flooding、ルートブリッジ乗っ取り等)を防ぐため、エンドデバイスが接続するアクセスポートにBPDU Guardを設定します。正規のスイッチ間トランクポート以外からBPDUが届いた場合、ポートを即座にエラーディセーブル状態にします。
3. 無線アクセスポイント(AP)のハードニング
無線APは物理的なアクセス制御が困難で、電波が建物の外まで届きます。オフィスビルでは隣室・廊下・駐車場から攻撃が成立する可能性があります。
無線暗号化とSSIDの設定
・WPA3を優先採用: WPA2より強力なSAE(Simultaneous Authentication of Equals)方式を採用。WPA3非対応の旧機器向けにはWPA2/3混在モード(Transition Mode)を使用する
・WPA2使用時はPMFを有効化: Protected Management Frames(管理フレーム保護)を有効にし、deauthentication攻撃(強制切断攻撃)を防ぐ
・SSID隠蔽の効果は限定的: SSIDを非表示にしても専用ツールで即座に検出可能。過信は禁物
・ゲストSSIDと業務SSIDを分離: 来客用と社員用は別SSIDで別VLANに接続し、内部ネットワークへのアクセスを分離する
管理設定の変更
・デフォルトSSIDの変更: 「BUFFALO-XXXX」「Aterm-XXXX」等のメーカー名を含むSSIDは機種特定に使われる
・WPS(Wi-Fi Protected Setup)の無効化: PIN方式のWPSはブルートフォース攻撃に脆弱なため無効化を推奨する
・管理画面の無線側アクセスを制限: 可能であれば有線管理ポートのみからの設定アクセスに限定する
・送信出力の適正化: 必要な範囲をカバーする最小限の送信出力に調整し、建物外への電波漏洩を減らす
# Ubiquiti UniFi Controller CLI での確認例 # 現在の無線設定を確認 admin@AP:~# mca-cli (McaCtl)> info # WPA3・PMF・WPS の設定状態を確認 admin@AP:~# grep -i "wpa\|pmf\|wps" /tmp/running.cfg # ゲストVLANの分離設定確認 admin@AP:~# cat /etc/config/network | grep -A3 guest
中小企業でも今日からできること
セキュリティ予算がない・専任担当者がいない環境でも、コストゼロで今日から着手できる3ステップを示します。
ステップ1: 機器棚卸しとデフォルトパスワード確認(所要時間: 30分)
社内のルーター・スイッチ・無線APをリストアップします。それぞれのデフォルト認証情報をメーカーサイトやマニュアルで確認し、デフォルトのまま使っている機器がないかチェックします。1台でも該当すれば、最初にパスワードを変更します。
ステップ2: WAN側管理アクセスの遮断(所要時間: 15分)
自社のルーター管理画面にログインし、「リモート管理」「WAN管理」「インターネットからの管理」といった設定項目を無効化します。機種によって表記は異なりますが、設定は管理画面の「管理」「詳細設定」セクションにあります。これだけでインターネット側からの直接攻撃を大幅に減らせます。
ステップ3: ファームウェア更新の定期確認(初回設定: 15分)
カレンダーに月1回の「ファームウェア確認デー」を設定します。各機器メーカーのセキュリティ情報ページをブックマークし、月1回アクセスして最新版が出ていないか確認する習慣をつけるだけで、既知の脆弱性への対応率が格段に改善されます。
よくある誤解と注意点
【誤解1】「MACアドレスフィルタリングをすれば安全」
MACアドレスは容易に偽装できます(MACスプーフィング)。Linuxでは`ip link set eth0 address XX:XX:XX:XX:XX:XX`のコマンド1行で変更できるため、攻撃者がすでに接続している正規デバイスのMACアドレスに成りすませば、フィルタリングを簡単に突破されます。補助的な対策として使うのは構いませんが、これだけに頼るのは危険です。
【誤解2】「設定変更したら業務アプリが動かなくなる」
Telnetの無効化やUPnPの停止が業務に影響するケースは限定的です。ただし、古いネットワークプリンターやIoT機器がTelnetで管理されているケースでは事前確認が必要です。変更前に必ずコンフィグをバックアップし、業務時間外に小範囲でテストしてから本番適用する手順を守れば、復旧も短時間で可能です。
【誤解3】「VPNを使っているから機器の設定は関係ない」
VPNはリモートアクセスの暗号化に有効ですが、VPN機器自体もルーターやスイッチと同じく管理画面を持ちます。VPN機器のハードニングを怠ると、VPN経由で接続してきた攻撃者に管理者権限を奪われるリスクがあります。「VPNで守られているから安全」という過信は禁物です。
【注意】設定変更の前に必ずバックアップを
ルーターやスイッチの設定を変更する前に、必ず現状のコンフィグファイルをエクスポートしてください。設定ミスで通信が断絶した場合、コンフィグのリストアが最も素早い復旧手段です。コンソールポート(シリアルケーブル)経由のアクセス手段も、事前に確認しておくと安心です。
本記事のまとめ
ネットワーク機器ハードニングの要点を表にまとめます。
| 対象機器 | 最優先の設定変更 | 難易度 |
|---|---|---|
| ルーター | 管理者PW変更 + WAN側管理無効化 + Telnet/UPnP停止 | 低(すぐできる) |
| L2スイッチ | Native VLAN変更 + 未使用ポート無効化 + SSH限定管理 | 中(VLAN設計が必要) |
| 無線AP | WPA3/PMF有効化 + WPS無効化 + ゲストVLAN分離 | 低~中 |
| 全機器共通 | ファームウェア最新化 + ログ有効化 + 月1回確認 | 低(習慣化が鍵) |
ネットワーク機器のハードニングは、高価なセキュリティ製品を導入しなくても今すぐ着手できる対策です。「デフォルト設定の変更」「不要なサービスの無効化」「定期的なファームウェア更新」の3点を徹底するだけで、攻撃者にとっての侵入コストが大幅に上がります。
完璧な設定を目指すより「攻撃者にとって最も簡単な経路を塞ぐ」ことに注力してください。デフォルトパスワードのまま放置した機器が1台あれば、他の対策がいかに完璧でも意味をなしません。
Linuxサーバー側のハードニング(firewalld・SELinux・ファイルパーミッション設定)については、姉妹サイトLinuxMaster.JPで詳しく解説しています。ネットワーク機器とサーバー両面からセキュリティを固めることで、攻撃者が侵入できる経路を最小化できます。
ネットワーク機器の設定、「なんとなく動いているから大丈夫」で済ませていませんか?
デフォルト設定のままのルーターやスイッチは、攻撃者にとって開けっぱなしの扉です。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
