要約
NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。
このドキュメントの対象とする人たち
何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。
ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなくていいです。読まなくていいです。
IPv6 と IPv4 のセキュリティ
ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか?について説明します
IPv4 の場合
一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を利用し、家庭内で共有することで複数のPCやスマホからインターネットを利用することができます。(NAPTと呼ばれる機能)
この機能により、インターネットから見えるものはルータ1台だけでルータの下に接続されているPCやスマホは インターネットから一切見えない ようになっています。
また、ルータはデフォルトの設定で インターネット側から着信した通信をすべて破棄する 設定となっているため インターネット側から家庭内LANにアクセスすることはできません 。
万が一攻撃されてもすべてのパケットが破棄され、家庭内LANへ入ってくることはできないわけです。
IPv6 の場合
一般的にIPv6アドレスは1契約につき1セグメント以上のブロック 1 でアドレスが付与され、すべてのPCやスマホ等にインターネットからアクセスができるグローバルIPが付与されます。
つまり、IPv4に存在していた「ルータ」が実質的に存在せず インターネットから直接PCやスマホにアクセスすることができます 。
もちろん、PCを攻撃する目的でのアクセスをしてきたとしても、PCまでアクセスが到達してしまいます。
インターネットから直接アクセスできると起こる問題点
インターネットからPCやスマホ、家庭内LANにアクセスできると発生するやばいことをあげると以下のようなことがあります。
- PCの中にあるデータが抜かれる可能性がある
- PCの中にあるいろいろなデータがインターネットに出て回収不可能になる可能性があります
- PCがウイルスに感染する可能性がある
- ex. wannacry事件など
- データが破壊されたり、回復不可能になる可能性があります
- PCを中継台にされて、「◯◯駅を爆破します」などと掲示板に書かれる可能性があります
- ex. PC遠隔操作事件
- 中継点にされた可愛そうな大学生が自白強要されて人生が崩壊してしまった事件
更に、流石にいないと思いますが企業でこの状況になっている場合は以下のような楽しいことが発生する可能性があります。
- 共有ストレージとして「特に」NASを利用している場合、機密情報がインターネットからアクセスし放題
- プリンタから印刷し放題
IPv6 ファイアウオール(FW) 機能
一般的な回線事業者から貸し出されるHGW 2 にはIPv6 FWと呼ばれる機能が実装されており、 インターネットからの着信する通信を破棄する設定 になっています。
このため、外からの攻撃はHGWによって防ぐ事ができるようになっています。
つまり、この機能がルータに備わっていない場合は インターネットから攻撃が可能になる のでやばいです。
この機能はWindowsやMacOS、Linuxなどの殆どのコンピュータにも備わっており、利用者が意図して無効にしない限り保護されている形になります。
しかし、IoT家電や無線のアクセスポイントの場合、ファイアウオールがそもそも存在していない、ファイアウオール自体は存在しているが何らかのバグで実は全く機能していない。等の場合があります。
考えたくないですが Raspberry Pi を初期パスワードのまま運用していたりするとそれなりにやばいです。
各回線事業者別 HGW の IPv6 FW の実装状況
| 事業者 | 対応状況 | 備考 |
|---|---|---|
| フレッツ光 ひかり電話あり HGW契約あり |
実装済み | 自らFWに穴を開けたり、無効にしたりしない限り安全 3 |
| フレッツ光 ひかり電話なし HGW契約なし |
実装なし | 自前でルータを用意するプランのため、FWもルータも付属していない 3 |
| ソフトバンク光 BB光ユニットあり |
実装あり | 自らFWに穴を開けたり、無効にしたりしない限り安全 4 |
| auひかり | 実装済み | 自らFWに穴を開けたり、無効にしたりしない限り安全 |
| 電力系光回線 | 実装済み | 自らFWに穴を開けたり、無効にしたりしない限り安全 HGWがない契約の場合は、IPv4のみの付与となるため、考えなくてOK |
| CATV | 事業者次第 | 概ね問題はない印象ではある |
| WiMAX | 実装済み? | 取扱説明書を読む限りでは実装されている 設定画面が独特なので若干自信がない |
| NURO光 | 未実装or無効 | 下記参照 |
NURO光でIPv6 FW が実装されているか確認する
NURO光 ご提供する機器に関して にて確認してみたところ、対応している機材と対応していない機材がありました。
FWが実装されてないってどういうこと!?
| 機材 | 製造元 | 対応有無 | 備考 |
|---|---|---|---|
| ZXHN F660T | ZTE | ◯ | 初期設定で無効 |
| ZXHN F660A | ZTE | ◯ | 初期設定で無効 |
| HG8045j | HUAWEI | ◯ | 初期設定で有効?設定確認を推奨 |
| HG8045D | HUAWEI | 未対応 | 追加機器で対応 |
| HG8045Q | HUAWEI | 未対応 | 追加機器で対応 |
| FG4023B | SERCOM | 未対応?5 | 追加機器で対応? |
| NSD-G1000T | SONY | 未対応6 | 追加機器で対応 |
機材別のIPv6 FW有効化方法
ルータの設定画面にインターネットからアクセスできるという情報がありますので、ルータのログインパスワードを変更する手順を含みます。
→ NURO光のIP帯 512 IPアドレスに curl を投げた結果、HGWの設定画面は取得できませんでした。
→ 本人から間違いだったという報告をいただきました
ただし、初期設定のまま利用するのはいかがなものかと思いますので、手順からは削除していません。
ZTE社製
- http://192.168.1.1 にアクセス
- ユーザ名とパスワードを求められるので「admin」と両方に入力
- セキュリティ → ファイアウオール を開く
- 「ファイアウォール機能を有効にする」のチェックを入れる
- 「ファイアウォールレベル(IPv4)」を「中」に設定する
- 「SPI(IPv6)を有効にする」のチェックを入れる
- 設定ボタンを押す
- 管理 → ユーザ管理 を開く
- 古いパスワードに「admin」と入力
- 新しいパスワードとその確認にパスワードを入力 (このパスワードは忘れないでください。取説の裏にでもメモして保管されるといいかと思います)
- 設定ボタンを押す
Huawei HG8045j
- http://192.168.1.1 にアクセス
- ユーザ名とパスワードを求められるので「admin」と両方に入力
- セキュリティ → IPv6ファイアウオール を開く
- ファイアウオール 有効のラジオボタンをチェックする
- 適用ボタンを 押す
- システムツール → ログインパスワードの変更 を開く
- 元のパスワードに「admin」と入力
- 新しいパスワードとその確認にパスワードを入力 (このパスワードは忘れないでください。取説の裏にでもメモして保管されるといいかと思います)
- 適用ボタンを押す
IPv6ファイアウオールが存在しない機器を使っている場合
NUROに交換させる
たぶん、なんだかんだお茶を濁して交換してくれませんが、電話して見る価値はあるでしょう。
IPv6 FW が存在するルータを購入する
NECやBUFFALOのIPv6対応を謳っているルータを購入すればいいでしょう
- IPv6対応のルーターを購入する 例: NEC WG1900HP2
- 動作モード切替スイッチを RT に設定 する
- IPv6をNDProxyモードに変更する(IPv6ブリッジでは意味がない)
- 下記の接続に変更する
- NURO光HGWの無線LANを無効にする
- http://192.168.1.1 にアクセス
- WLAN → 2.4G 基本ネットワーク設定 を開く
- WLANの有効化 のチェックを外す
- 適用ボタンを押す
- WLAN → 5G 基本ネットワーク設定 を開く
- WLANの有効化 のチェックを外す
- 適用ボタンを押す
- すべてのPCをやスマホ、ゲーム機を新規で購入したルータに接続するように無線LANの設定を変更する
IPv6 を無効にする
IPv6 なんてどうでもいいから IPv4だけ使えればいいよ!という人向け
ちなみに、普通の人はIPv6を無効にしたところで何の不利益もなく、亀が動かなくなるとか、ぷらっとオンラインで6のつく日に6%OFFが使えなくなる程度の不利益が生じる程度でインターネットは何の問題もなく利用できます。
HUAWEI社製のHGWを利用している場合
- http://192.168.1.1 にアクセス
- IPv6 → LAN アドレス設定 をひらく
- 「ルータ広告を有効にする」のチェックを外す
- 「DHCPv6サーバを有効にする」のチェックを外す
- 適用ボタンを押す
NSD-G1000Tを利用している場合
- http://192.168.1.1 にアクセス
- 基本設定 → その他設定 → IPv6 LAN 設定 を開く
- 「DHCPv6 サーバー」をオフにする
- 「IA_NA」をオフにする
- 「ルーター広告」をオフにする
はっきり言いたい
SONYさん、最新機種の NSD-G1000T でも IPv6 のファイアウオールの実装がないとかインターネットなめてるとしか思えない。早急に実装してください!
そして、デフォルトでIPv6FWを無効にするとか少し考えればユーザを危険に晒すってわかるでしょうに。
(上位職者が「ファイアウオール?速度遅くなるんだろ?初期設定で無効にしておけ」とか言う状況ではないと信じます。)
Q and A
PCにFW入れとけばいいんじゃないの?
つなぐのがPCだけならいいんじゃないでしょうか。
IoT家電とかNASとかは保護されませんよ。
IoT家電とかを踏み台としてPCにアクセスした場合、だいたいFWのデフォルト設定では同一ルータと同じ場所にあるPCからの許可をされているので入れちゃいます。また、PCに入れなくても掲示板になにか書くくらいなら簡単です。
2重ルータは嫌だ
NUROのサポセンと根気強く交渉すればいいんじゃないですかね……
うちの回線の名前がない
- ONU (壁から一番近いところにある光ケーブルがつながっているやつ)に NTTのマークないし文字がある
- auひかり、TEPCOひかり、eo光、Pikara、BBIQ、コミュファ光、Mega Egg、NURO光、一部のCATVの光 以外 のサービス
- フレッツコラボの具体例
- ドコモ光
- ソフトバンク光
- So-net光
- ビッグローブ光
- ぷらら光
- OCN光
- IIJ mioひかり
- DIT光
- DMM光
- AsahiNet光
- @nifty光
トレンドマイクロの「ウイルスバスター for Home Network」って効果ある?
わからないです。2重ルータ構成にしたほうがこの問題の解決は安心できると思います。
何言ってるか分かんない
今すぐNUROを解約して、フレッツ、auひかり、電力系に乗り換えてください。
SPI と FW と NAPT と NAT を混同している、NAPT-BOXはルータではない (わかる人向け)
この差を説明しようとすると、同人誌が1冊書けます。簡潔に説明するためにそうなっております。
レンタルルーターと回線を混同している (わかる人向け)
NUROの場合、ONUとHGWが一体となっており、ユーザは正当ないかなる手段を用いてもその機能を 取り外すことができないためHGWも含めてNUROのサービスのうち です。
参考資料
- INTERNET Watch IPv6ならネットから直接アクセスできる? 試して確かめよう
- NURO光 ご提供する機器に関して
- NTT東 通信機器サポートページ
- NTT IP通信網サービスのインターフェイス仕様
-
1契約につき /64 (普通の家庭では利用しきれないくらいのアドレス数) ↩
-
回線事業者から貸し出されるルータのこと。NTTのひかり「電話ルーター」やケイオプトコムの「eo光多機能ルーター」などのこと。 ↩
-
NTTのHGWが利用できる状態かを確認する方法は 「ひかり電話」を契約している場合。ひかり電話を契約していない場合は 「PPP」ランプが緑/橙点灯している か 「オプション」ランプが緑に点滅していない ければ利用可能。詳しい契約はNTTかコラボレーション事業者に聞いてください。筆者はあなたがどういう契約しているかは全く知りません。 ↩
-
取説に記載あり http://ybb.softbank.jp/support/connect/hikari/router/bbu23-detail02.php#packet-filter ↩
-
下記のコメントであるっぽいというご指摘いただきました。しかし、取扱説明書に詳しい説明がなく挙動ベースでの検証が必要なためどなたか動作検証をした上でコメントいただければと思います。 ↩
-
IPv6 FW がないという報告あり https://twitter.com/VA2018AV/status/1264438334228594688 ↩
