No190 ネットワーク機器をアップデートする方法

あけましておめでとうございます。
2021年も当メルマガ「がんばりすぎないセキュリティ」をよろしく
お願いいたします。

さて、前回までで組織のネットワークを支える裏方の機器が犯罪者
達に狙われていることと、対策の準備として組織内のネットワーク
機器を把握する方法を解説しました。

今回は対策編として、ネットワーク機器を安全にアップデートする
方法について解説します。

1. ネットワーク機器にアップデートなんて必要なの？

ところで、どうしてネットワーク機器にアップデートが必要なので
しょうか？

ネットワーク機器はネットワークを制御するためのソフトが載って
いる小さなコンピュータです。ソフトが載ってるのですから、バグ
が潜んでいて、それが出荷後に見つかるかもしれません。

犯罪者がバグを突いて侵入する可能性を考えると、その修正版を
インストールできないと困ります。だからネットワーク機器には
アップデート版をインストールできるように作られています。

ですが、ネットワーク機器の大半は、画面はおろか操作ボタンすら
ありません。こんなのでどうやってアップデートするのでしょう？

答えは簡単です。
ネットワーク機器なんですからネットワーク接続したＰＣ（パソコン）
から遠隔操作してアップデートするのです。

家庭用のネットワーク機器なら、ブラウザ（IEやChromeのこと）で
アップデートするか、メーカーが提供するインストールプログラム
を実行するかのいずれかです。
業務用の機器ではsshクライアントと呼ばれるソフトを使うため、
業者にアップデートをお願いするのが一般的です。

それを行うソフトのことをアップデータとかパッチとか修正プログ
ラムなどと呼んでいます。

アップデートプログラムはその機器のメーカーから提供されます。

2. たかがアップデートでおおげさな...ではないのです

「安全なアップデート方法」なんていうけど、WindowsUpdateや
マルウェア対策ソフト（ウイルス対策ソフト。詳細は文末参照）
のアップデートとおんなじでしょ？

単にアップデートプログラムを実行するだけじゃないの？
おおげさすぎない？と思われる方もおられるでしょう。

ですが、ネットワーク機器のアップデートは一般的なＰＣ（パソ
コン）と多少勝手が違います。
手順を間違うとひどい目に会う場合があるのです。

WindowsUpdateの仕組みはWindowsを作っているマイクロソフトが
提供しています。手持ちＰＣがどこのメーカー製品でも同じ手順で
アップデートができます。

ですが、ネットワーク機器は各メーカーの対応ですから、製品に
よってアップデートの手順が違いますので、作業にも神経を使い
ます。

また、多くのネットワーク機器はその使い方に合わせて設定する
ことが必要です。それが消えてしまうと、その設定を復元すること
はとても面倒です。

今回はそういった落とし穴にはまりにくいアップデート方法を解説
します。

3. その機器の製造元は今もありますか？

前回は、手持ちのネットワーク機器がすべて把握する方法を解説
しました。次には、各機器のバージョンが最新かどうかを確認する
必要があります。

そのため、インターネット上で各機器の製品ページを確認します。

インターネット上で機器を探す時は、まずそのメーカーのトップ
ページを探してください。googleなどでいきなり製品名を検索する
と、メーカー以外の製品レビューや使い方の説明ページが混ざって
まぎらわしくなるためです。

ここで問題となるのは、メーカーが会社を畳んでいたり、ネット
ワーク事業から撤退してたり、他社に事業譲渡したり、といった
場合です。また事業を続けていても、会社名やブランド名が変わる
場合もあります。
旭硝子も富士重工業も松下電器産業も社名変更しましたから。
見つからない場合はいろいろなキーワードで試してください。

メーカーのページが見つかれば「サイト内検索」とか「製品検索」
といったページがあると思いますので、そちらで機器の品番（RTX-
1210とかLF-P968Cといったアレです）を入力して製品を探します。
なお、A-TermだとかCatalistといった機器に印刷されたブランド名
で探すと何百種類もの製品がヒットする場合がザラですので、品番
で探す方が間違いがありません。

どうしても見つからない場合はメーカに問い合わせましょう。
多くの場合はサポートが終了した古い機種だと思われますが、念の
ために確認しておきましょう。

4. メーカーサポートが終わっている場合は買い換え

いろいろと探してみても、メーカーや製品が見つからない場合は
どうしましょう？

本当に会社がなくなったのかもしれませんし、販売元が海外で連絡
が難しいかもしれません。また、製品のサポートが終了していたり、
事業から撤退した場合もあるでしょう。

このような場合、機器の買い直しが必要と考えましょう。

問題なく利用できているのに買い直すと聞くともったいないように
思いますが、何らかの攻撃を受けても誰もサポートしてくれない
機器を使い続けるのは非常に危険です。

ただ、ネットワーク機器の場合、買ってきて置き換えておしまい、
とならない点がやっかいです。

多くのネットワーク機器は利用前に設定が必要です。
全ての設定を旧機器と同じ状態にするというのは存外難度の高い
作業なのです。

余程自信がない限り、機器の入れ換え作業は業者に依頼することを
オススメします。

5. その機器にログインできますか？

首尾良くメーカの製品ページが見つかった場合は、そのサポート
ページなどで最新バージョンのプログラム（ファームウェアとか
アップデータなどと呼ぶ場合もあります）をダウンロードしま
しょう。

同じページにそのプログラムをネットワーク機器にインストール
する手順が書かれているはずですから、後はそれに従ってインス
トールをするだけです。

ですが、ここに最後の強敵が待ち構えています。

ネットワーク機器には悪用やうかつな変更を防ぐために必ずＩＤと
パスワードが設定されています。

このＩＤとパスワードがわかるでしょうか？
そう、これが最後の強敵です。

製品出荷時にはＩＤとパスワードがデフォルト値になっています。
（例えばＩＤ＝admin、パスワード＝未設定）

このＩＤとパスワードは利用者が変更すべきですが、そのＩＤと
パスワードは一覧表などで管理されているでしょうか？

全てのネットワーク機器のＩＤ／パスワードが一覧表管理できて
いることが理想的ですが、そこまでできている組織がどれほどある
ことでしょう。

通常は設置した担当者が忘れてしまえば、誰もわからなくなりがち
です。

余談となりますが、上述のようなデフォルトのパスワードが変更
されていないことを狙ったmiraiというマルウェア（いわゆるウイ
ルス。詳細は文末参照）が2016年に大流行しました。
この騒動の後、各メーカは個体ごとに異なるパスワードを設定し、
そのパスワードを印刷したシールを貼った製品が一気に増えました。

これと同じやりかたを各自で行ってはいかがでしょうか。
つまり、ネットワーク機器の設定時に変更したＩＤとパスワードを
シールに書いてその機器に貼り付けておくのです。
こうすれば機器の設置場所に入れる人だけがＩＤとパスワードを
知ることができるので安全です。

無事にログインができれば、後はサポートページの手順書に従って
最新プログラムのインストール作業を行ってください。

6. パスワード不明の場合は？

ＩＤとパスワードがわからなくなった場合はどうしましょうか？
方法は２つあります。

一つは同等の機器を購入し直す方法です。
最近に購入した機器であれば、同じ品番の製品が見つかるでしょう。
古い機器であれば、同じメーカの後継機種を購入するのが良い
でしょう。

費用はかかるのですが、既存の機器を温存できますから、いざと
いう時に旧機器に戻せば業務を止めずに済むメリットがありますし、
旧機器の動作を見ながら、設定内容を推測することもできます。

また、最新の機器に乗り換える場合は、旧機種の脆弱性を心配し
なくてよい点も大きなメリットです。

筆者としては、この方法を強くオススメしておきます。

もう一つは機器のリセット機能を使う方法です。
リセットを行うと機器を工場出荷状態に戻すことができます。
ＩＤとパスワードもリセットされますので、ログインできるように
になります。
その代わり、機器に設定されていた全ての情報は失われます。
リセット後にうまく再設定できればいいですが、うまくいかないと
その機器が使えないだけでなく、その機器を経由してネットワーク
接続していた他の機器がネット接続できなくなるかもしれません。

リセット機能は最後の手段で、うかつに実行するとひどいことに
なります。

7. 10年以上前の機器は買い換えを

10年以上使っている機器については、基本的にはメーカのサポート
は終了していると思われますから、トラブルがなくても買い替えを
検討してください。

上述のmirai対策もそうですが、メーカー側は常に新しい攻撃方法
に適応した製品開発を行っています。
同じ機能の製品でも新しいものはそれだけ脆弱性のリスクを抑え
られます。

また、ネットワーク機器というのは動いて当然のものですので故障
などで動かなくなるとスグに業務に支障をきたします。
古い製品はそれだけ故障の可能性も高まります。
事故を防ぐためにも製品サポートが終了した機器は買い換えること
をおすすめします。

8. まとめ

ネットワーク機器のアップデートというのは、メーカの確認も、
製品の確認も、機器のアップデートも、どれも面倒な作業です。

ましてや機器が故障していなくても再購入などといったパターンは
他の機器では考えられないことです。

ネットワーク担当となった方はこの事実を経営者に伝え、ネット
ワーク管理に必要な作業時間や費用を確保してもらってください。
世の経営者はこんなに手間がかかるものとは夢にも思っていません。

これは他の組織メンバでも同様です。
ネットワーク機器にトラブルが起きると業務にも影響が出る場合が
あること、また業務が止まらないような手順やマニュアの準備が要る
ことをわかってもらいましょう。

ここで述べた一連の作業がネットワーク管理者の手に余るようなら
ネットワーク機器の納入業者に相談しましょう。費用は要りますが、
それで安心を得られるわけですから高い買い物ではないと思います。

また、前回も書きましたがメーカーのユーザ登録は必ず行ってくだ
さい。一部には未登録ユーザはサポートを受けられないメーカーも
あります。プログラム（ファームウェア）更新のお知らせや新機種
の案内が簡単に得られるのは大きなメリットです。

是非、皆さんの組織でもネットワーク機器の確認とアップデートを
行ってみてください。

次回もお楽しみに

今回登場した用語

○マルウェア
　これは英語圏での造語で、malicious-softwareを縮めてmal-ware
　（＝マルウェア）と呼ぶ。
　malicious（マリシャス）は「悪意のある」とか「故意の」と
　いった意味。
　つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
　ウェアの総称を指す。
　ウイルスと何が違うんだ？と思ったアナタは正しい。
　以前は「ウイルス」が悪事を働くソフトの代表だったので、それ
　が総称を兼ねていた。
　ところが、ウイルス以外にも悪さをするソフトウェア、例えば
　ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
　登場してきた。
　結果、狭義のウイルスと広義のウイルスの２つの意味にかなりの
　差が生まれてしまった。
　この両方を「ウイルス」で表記していると区別がつきにくくなる
　ため、マルウェアという言葉を「悪さをするソフトウェア」の
　総称として使いはじめた。
　2021年現在、ウイルスという言葉はマルウェアの一つの形式扱い
　ということで専門家の間では定着した。一般ユーザにも広がり
　つつあるが「ウイルス」と呼ぶ人もまだまだ多い。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html