TP-Link製 無線LAN機器を使った実験

この記事は約5分で読めます。

警視庁の注意喚起を見て思ったこと

2023年3月28日に警視庁から通信機器メーカーと共同でこのような注意喚起がなされました。

家庭用ルーターの不正利用に関する注意喚起について 警視庁
www.keishicho.metro.tokyo.lg.jp

外部から管理画面にアクセスできてしまうルーターがあり、勝手に設定を変更されてしまう恐れがあるという注意喚起です。

このニュースを見て、わたしはTP-Link製の無線LAN機器の仕様が真っ先に思い浮かびました。

TP-Linkは中国深圳の通信機器メーカーです。
TP-Link联洲国际技术有限公司だそうです。

Contact Us | TP-Link
Contact Us - Welcome to TP-Link
www.tp-link.com
TP-Link
TP-Link 公司介绍
www.tp-link.com

日本語ページに中国本社の情報がなく、サイト内で迷子になりました。

わたしは一台、面白半分で買ったArcher C6いうTP-Link製の無線LAN機器を持っています。

AC1200 MU-MIMOギガビット無線LANルーター
4本の外部アンテナとギガビットポートを搭載したArcher C6で、快適な動画ストリーミングやゲームを楽しみましょう。
www.tp-link.com

普通の無線LAN機器なら予備的に持っておくのもいいかな、安いし。と思って買いました。

2023年3月29日時点のAmazonの売り上げランキングをみるとBuffalo製品と同じくらいTP-Link製品は売れているみたいです。

たしかに無線LAN機器としての性能からすると、安いんです。

しかし、本業がITやネットワーク分野ではないわたしから見ても、あまりにも危険すぎると感じたため、即使用停止しました。

どういう危険性があるかというと、TP-Link IDとパスワードの組み合わせが分かれば、外部から管理画面にアクセスできます。

Tether | 手の平の上で 気軽にネットワーク管理を実行 | TP-Link
TP-Link Tether を用いることで、 iOS または Android 機器を通じて気軽にルーターやレンジ エクステンダーへリモート
www.tp-link.com

これは脆弱性ではなく、仕様。
メーカーとして売りにしています。

今回のニュースを見て、どのくらいまで外部から情報を見られるのか、設定変更ができるのか、試してみたくなりました。

結論から言うと、TP-Link製品、特に無線LAN機器は使わないほうがいい。
スイッチングハブならまあ…いいかな。
ネットワークカメラはやっぱりTP-LinkのIDとパスワードが分かれば映像を観られるのかな?
もし観られるのなら、大変危ないですね。

実験環境

以下のように機器を設置しました。

HR01(ドコモ4G)→Buffalo Wi-Fi(ルーターモード)→TP-Link Wi-Fi(ルーターモード)

手書きのイメージ図。

字も絵も下手でごめんね…。

少なくとも2つのルーター配下にTP-Linkの無線LAN機器を配置し、多段NATを作ります。

実際にはドコモはspモードなので、ドコモ側からHR01に割り当てられるWAN側IPアドレスもプライベートIPアドレスです。

NTT系列ではない他社CATV(KDDI系列)回線の無線LAN機器にXiaomi 12T Proを接続し、VPNで香港経由にしました。


VPNを使ったのは単純に経由するネットワークを増やすことと、外国からでもアクセスできるか確かめたかったからです。
どちらにせよ、外部からいきなりNAT配下にあるルーターの管理画面へアクセスするのは無理があります。

攻撃者に不利な環境で、どこまで情報を引き出せるかという実験です。

Tetherアプリを使った実験

試験用にTP-LinkのIDとパスワードを作り、Archer C6と紐づけました。

もちろんIDとパスワードの組み合わせが分からなければ管理画面まで辿り着けませんが、TOTPなどの2段階認証はありませんのでIDとパスワードの強度が全てです。

どうしてもTP-Link製品を使いたいならば、TP-LinkのIDとパスワードを強固なものにしてもらうしか…。
試験用に作った際は30文字以上、記号、数字、大文字、小文字混じりのパスワードでも作れました。
パスワードの強度を保つか、今すぐ機器を使用停止して廃棄しろとしか言えません。

今回はNAT配下の無線LAN機器の設定画面に遠隔地からアクセスできるかという実験で、攻撃者はTP-LinkのIDとパスワードを知っているものとします。

まずは香港経由でNAT配下にいる無線LAN機器の管理画面へアクセスできるか?

ログインし、機器を表示できました。

続いてSSIDと暗号化キーが見られるか?

見れました。
※常用していないので見られても構いません。

続いて暗号化キーが変更できるか?

変更できました。

WAN側のIPアドレスが見られるか?

見れました。

192.168.11.2が無線LAN機器のWAN側に割り振られていることが分かりました。

今回はプライベートIPを振っていますが、WAN側のIPアドレスが分かり、それがグローバルIPであればおおよその端末の位置は掴めます。

ちなみにペアレンタルコントロールを弄ってやることで、無線LAN配下の端末のインターネット接続を遮断できました。

例えば香港経由のXiaomi 12T Proから、TP-Link Archer C6配下のiPhoneをhttps://yahoo.co.jpへアクセスできないようにします。

iPhone側でYahooを開こうにもルーター側で遮断されました。

こんな製品が世界中で売られているのか…。
一般家庭ならまだしも、事業所やフリーWi-Fiなどでも使われているのでしょうね。

今回はTP-Link製品をターゲットにしましたが、それ以外のメーカーであっても、グローバルIPアドレスが割り振られている無線LAN機器は要注意です。

Internet側からのポート80番宛の通信遮断はデフォルトかな?と思いますが、設定次第では、外部からグローバルIPアドレスをブラウザに打ち込むことで管理画面にアクセスできてしまいます。

一般家庭であれ、事業所であれ、プロバイダやITベンダーに来てもらって、機器置いてもらったらあとは放置という場合がほとんどかと思います。

警視庁の注意喚起にある「見覚えのない設定変更がなされていないか定期的に確認する」慣れた人にとっても難しいと思います。この対策を書いた人もやらないと思う。

コメント