IPv6とFWと安全性一時NURO光は危険だと話題になっていました。
Qiita – NURO光はセキュリティ的にやばいって話 (安全に使うための方法)
ただし、上記Qiita記事は利用規約違反のため削除要請を受け削除したようです。
何故削除要請を受けたのかはわかりませんが、Qiita的には問題があった記事だったのでしょう。
は、下記note記事にて公開されています(一部のみ、一部有料記事)
ただし、この記事に関しては問題点が多いです。
また、調べていくうちに、そもそもNURO光以外でもIPv6ファイアウォールの問題があることがわかりました。
目次
矛盾だらけの記事
矛盾した記事に疑問インターネットから直接アクセスできると起こる問題点に関して、さんざん不安を煽っています。
ですが、exp_noto氏はWindows、Mac,LinuxにはFW(ファイアウォール)が搭載されており、ユーザーが意図して無効化しない限り安全だとも言っています。
そのため、不安をさんざん煽るような内容は、OS標準のファイアウォールが機能している限り、また危険なポートを開けていない限り起こりえません。
なお、NURO光をこの安全に使う方法は、当サイトの下記記事にて無料で見る事が出来ます。
NURO光 ONU IPv6ファイアウォール問題対策 IPv6無効化方法
そもそもOS(WinやMac)のファイアウォールがデフォルト状態で、ポートを開けていなければ、安全に使うことはできますが、それでも不安な方向けの記事となっています。
あくまでもパクリ記事ではなく、こちらで改めて設定方法を調べています。
また、各ONUの設定方法を詳細に記載しています。
光回線事業者のIPv6設定は全て安全ではない
IPv6に対するセキュリティは大手全て緩め如何にNURO光は危険で、フレッツ光、auひかりのような他の光回線は問題はないと記載されていますが。
調べてみると実態は全く異なりました。
フレッツ光、auひかり、NURO光。どの回線も問題点があった事がわかりました。
フレッツ光のIPv6セキュリティ
NTT系のフレッツ光ONUにはIPv6用のファイアウォールは搭載されています。
ですが、どうやらデフォルト設定では、全く安全ではありません。
フレッツ構内からであれば、アクセスし放題が実態です。
実際、許可していないSSH通信が通ってることを、下記記事にて詳しく解説されています。
NTTでフレッツ・v6オプションを契約している人は切れた方がいい(デフォルト設定でのセキュリティは皆無)
SSH通信とは、リモートでPCを操るために利用する手段のひとつです。
もし簡単なパスワードでSSH通信を使ったリモートを行っていた場合、乗っ取られる危険性があります。
ですが、exp_noto氏はフレッツ光のデフォルト設定の危険性に関して全く記載がなく、安全と言い切っています。
auひかりのIPv6セキュリティ
KDDI系列のauひかりマニュアル等確認した所、IPv6ファイアウォールに関する記載はなし。
検索しても情報がなかったため、auのインターネットサービスの設定・故障 0077-7084に電話で問い合わせ。
(光回線のONUは、メーカーへの問い合わせは受け付けておらず、光回線事業者に問い合わせが必要)
ホームゲートウェイ(ONU)に、IPv6用のファイアウォール機能はあるか確認
- 最新のホームゲートウェイ(NEC BL1000HW)にもPv6用ファイアウォール機能はないと回答。
- 各PCでセキュリティ対策をして欲しいとの事(Windowsファイアウォールやセキュリティソフトのファイアウォール)
ですが、exp_noto氏の記事にはauひかりは安全だと記載されています。
auひかりサポートは、IPv6ファイアウォールは搭載されていないため、各PCでファイアウォールを設定して下さいと言っている。
auひかりの場合、onuの選択肢はないため、まだONUの選択肢があるNURO光がマシな状況とも言えます。
NURO光のIPv6セキュリティ
Sony系列のNURO光ファイアウォール機能は、ONUの機種によって機能が異なります。
[table id=85 /]F660A/F660Tに関しては、SPIという高度なパケットフィルタ(ファイアウォール)が搭載されています。
HG8045Qは、11月12日(木) までに本体ファームウェアがバージョンアップされ、IPv6のファイアウォールがデフォルトで有効化されました。
NURO 光 ONUホームゲートウェイタイプ 「HG8045Q」ファームウェアアップデートのお知らせ(NURO光公式サイト)
なお、古い機種(HG8045DかF660T)の場合、NURO光に相談すれば新しいONUに交換することが可能な場合があります。
問い合わせ先は下記となります。
- NURO サポートデスク 0120-65-3810 (受付時間 9:00~18:00)
対策に関しては、不安な方のために別途記事にてまとめました。
NURO光 ONU IPv6ファイアウォール問題対策 IPv6無効化方法
記事内容は
- 各ONUの管理画面のログイン方法(デフォルトパスワード記載)
- IPv6無効化(ONU設定)
- IPv6ファイアウォール設定方法(設定出来る機種のみ)
となっています。
何故各光回線業者のONUは、セキュリティが緩いのか
光回線業者各社のセキュリティは何故緩めなのか上記の通り、NURO光に限らずフレッツ光、auひかりもONUのセキュリティは緩いです。
そのため、NURO光だけが危険ではなく、どの光回線も同程度のセキュリティです。
では、何故光回線業者はそのようなセキュリティ設定の状態でONUを提供しているのでしょうか。
コストの問題
ONUにあまりコストをかけたくない業者機能が増えれば増えるほどONUのコストは増えるため。
ONUそのものに対しては、料金を基本請求していません(無線利用のみ有料の業者もある)
そのため、なるべく安く済ましたいと光回線業者は思う訳です。
結果、簡易的なセキュリティになっている場合があります。
セキュリティを強固した結果、機器が動作しないトラブルが増えるため
基本的にセキュリティを強固にすればするほど、利便性を犠牲にし不便になります。
特にIPv6では、情報家電で各機器がグローバルIPを持ち、直接通信が出来ることにより、今まで以上に利便性が向上します。
ですが、デフォルト設定でセキュリティを強固にしてしまうと通信が通らない場合があります。
通信が通らなければ、情報家電にいくら情報を送っても機能しません。
セキュリティは強固にすればするほど、利便性は下がる上記の場合、スマホでエアコンを外から操作したい場合ですが、指示を送っても一切反応がしない状態です
もちろんフィルタリング設定(一部通信を許可設定)を行えば問題なく使えますが、設定は簡単ではなく誰でも使えるものではなくなります。
そのため、業者側はあえてIPv6セキュリティを緩く設定している場合があります。
IPv6はIPv4に比べて攻撃がしにくい
乗っ取りやファイルを盗む行為の下調べとして、ポートスキャン攻撃があります。
- ポートスキャンで空いている通信ポートの情報端末を無差別に探す
- 攻撃可能な開いている通信ポートを見つけた場合、接続を試みる
- 簡単なパスワードの場合、侵入が可能となってしまい、リモートやファイルを盗むことが可能に
ただ、IPv6の場合、この「無差別に探す」のが難しいです。
IPv6の数が多く、攻撃対象を見つける事が困難IPv4の場合、約43億個と限られており、ポートスキャン攻撃も無差別な頻繁に行われています。
一方IPv6の数は、約340澗個 = 約340兆×1兆×1兆個です。
これだけの数があるIPv6のIPアドレスの中から、実際にアクティブなIPv6アドレス(実際に稼働しているIPアドレス)を探すのがそもそも現実的ではありません。
ただ、もちろん万が一の確率で攻撃される確実も決して0ではありません。
ですが、実はWindowsやMacには、ONUにファイアウォールがない状態でも、攻撃されないようにセキュリティ対策が施されています。
ONUにIPv6ファイアウォールがないのは安全か
ONUのFW以外にもセキュリティは存在する各社光回線は、程度は違えどセキュリティが緩いのが上記でわかったはずです。
では、これら光回線のファイアウォールがない状態でのIPv6接続は一般ユーザーにとって危険なのでしょうか。
結論から言えば、一般的な使い方をしている方は安全です。
ファイル共有機能はデフォルト設定でOFF
原則ファイル共有がONになっていない限りファイルは盗めないファイルを盗まれる可能性はあるのか
結論を言えば、OSのファイル共有機能を利用してない限り安全です。
ファイル共有機能を利用していなければ、ファイルを覗かれる危険性はありません。
(デフォルト設定では、ファイル共有機能はOFFになっています)
IPv6ファイアウォール機能がONUになかったとしても、共有されているファイルがそもそも無ければ覗く事も盗む事も出来ません。
もし設定がOFFになっていないか不安だった場合、下記を参照して設定項目を確認してみて下さい。
ネットワークの共有を有効 / 無効に設定する方法 ( Windows 10 )(ドスパラの記事)
ネットワークプロファイルが、パブリックになっていればファイル共有はOFFの状態なので安全です。
なお、Macでも同様で、ファイル共有機能はデフォルトでは使えません。
ファイル共有機能をONにしない限り、ネットワークからファイルを覗くことは無理です。
ファイル共有機能はパスワードで保護出来る
仮にファイル共有を有効化してあったとしても、共有化されたフォルダはパスワードで保護されます。
ファイル共有方法は、下記にて確認することが出来ます。
[Windows 10] ネットワーク上のユーザーとファイルやフォルダーを共有する方法(Vaio Q&A)
記事を見ていただければわかると思いますが、ファイル共有のフォルダにアクセスする場合、基本的にユーザー名とパスワードが必要です。
仮にONUのファイアウォールがなく、ファイル共有を利用した状態だったとしても、
- ユーザー名
- パスワード
これらの情報がない限り、共有フォルダにアクセスする事は出来ません。
なお、Windows 10(1709)以降、デフォルトで匿名認証が無効化されました。
Windows の既定で無効になっている SMB2 のゲスト アクセス(Microsoft サポート)
そのため、パスワードなし認証は最新バージョンのWindows10では利用できません。
(パスワードなしで共有フォルダにアクセスする事は不可能に)
つまり、許可されたユーザー及びパスワードがわからなければ、ファイルを盗むことは不可能です。
Windowsはファイアウォールを標準搭載
パソコン本体にもFWは搭載されているWindowsには標準でFW(ファイアウォール)が搭載されています。
このファイアウォールは、デフォルト設定ではファイル共有の通信ポートは許可されていません。
そのため、ネットワークからファイルを覗くようなことは出来ません。
なお、Macも同様もFWが搭載されています。
スマートフォン
スマホでファイル共有機能はデフォルト機能ではないファイル共有はそもそもOSの標準機能には搭載されていません。
必要だった場合、自身でファイル共有機能があるアプリをインストール必要があります。
そのため、onuにIPv6ファイアウォール機能がなかったとしてもファイルを覗かれる心配はありません。
リモートの危険性(乗っ取り)
FWの設定でリモートを許可されない限り乗っ取られない仮にONUのIPv6のファイアウォールがない状態でも、通常のOSファイアウォール設定では乗っ取りは不可能です。
乗っ取られる可能性は、外部からあえて通信ポートを開け、リモートで通信出来る状態にしたPCのみです。
- SSHが利用可能な状態でポートを開けてある(ポート22)
- Windowsリモートデスクトップが利用可能でポートを開けてある(ポート3389)
実際の事例レポートが、下記リンクにて上がっています。
簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話(Internet watch)
この場合は、リモートデスクトップを使える状態に、簡単なパスワードで利用した場合に発生したクラッキングです。
普通にWindowsやMacを利用してる分には、リモートが使える状態に設定をされてません。
そのため、乗っ取られる心配はありません。
NURO光だけではない IPv6 ファイアウォール セキュリティ問題 まとめ
- OSのファイル共有設定を有効にしていない
- リモート接続設定を利用していない
一般ユーザーは、この設定を有効化していない限り安全です。
普通の使い方をしている場合、そもそもこの設定を有効化することはないと思いますが。
それでも心配な場合は、下記記事にてIPv6を無効化、もしくはIPv6FWを有効化してください。
NURO光 ONU IPv6ファイアウォール問題対策 IPv6無効化方法
超高速回線のNURO光を使ってみませんか
NURO光回線は、これだけの速度が出るポテンシャルを持っています。
ニューロ光 実測・Ping値結果 2023年5月 SPEEDTESTで測定インターネット混雑時間である21:30頃に計測しても、これだけ速度が出ます。
実際にゲーム(Sekiro)をダウンロードしたところ、1分41秒で完了しました。
下記記事では、速度測定中の動画やパケットロスがないかも掲載しています。
■NURO光の特徴
NURO光は、SONYグループであるSo-netが提供する独自光回線です
■さまざまなランキングで1位受賞のネット回線
■PS5実機での実測速度とNATタイプ
NURO光は、PS5でも高速回線で快適です。
NATタイプは、NURO光、PS5共にIPv6対応のためタイプ2で接続出来ています。
(NATタイプがタイプ2で接続出来る場合、対戦ゲームで快適にマッチング出来ます)
■NURO光をもっともお得に契約するコツは?
光回線は申し込み窓口によって、キャッシュバック等全く異なります。
お得な申し込み窓口を下記にて解説しています
(現在の特典は予告なく終了・変更させていただく場合があります。予めご了承ください)
