Semplice - ブロードバンドルーターのパスワードとID

中古ルーターに残るパスワード

　最近知人より、古いブロードバンドルーターを頂いたのだが。設定画面に接続して、と。
　おおっと！「何かのIDとパス」が残ったままではないですか（笑
　そこで気になったんですが。
　ブロードバンドルーターには、工場出荷時の状態に戻すためのボタンや特別な操作が備わっており、これにより登録した「何かのIDやパスワード」を消すことができる。
　だがその機能の存在を知らず、そして重要性を認識していないエンドユーザーはどれだけ存在するんだろうか？

　そこで実地でリサーチしたのですよ、はい。具体的には、年末にネットオークションや秋葉原で中古ルーターを買いあさったりなどと。
　その結果は・・・・・うーん。すごい事になってるではないですか。
　（具体的商品名とか入手経路を書くと、オークション履歴の検索でこちらの身元が判明する可能性があると今更ながら気付いたので言及しないでおく）
　とりあえず古いルーターを販売する前には「工場出荷時の設定に戻す」よう心がけるべきだ。

エンドユーザー向けルーターの、初期IDとパスワード問題

　買ったものの、用もなく転がってるブロードバンドルーター。あまりにももったいないではないですか。
　いつもチャレンジ精神満載なんで、ふっと「ルーターを何段も接続して、どれだけトラフィックが落ちるのか遊んでみよう！」なんて考えた。そんな時にふと発見したんだが。
　今時のブロードバンドルーターは、ブラウザでインターネット側（WAN側）のIPアドレスを指定して接続し設定画面を開けるんだけど。一部のブロードバンドルーターは、そのパスワードはどうなってるのか疑問を感じた。

　つまり、もし初期パスワードのままパスワードを変更していなければ、どうなるんだろうか？
　またインターネット側（WAN側）からの接続で、設定画面へのログオン画面を晒さないように設定していなければ、どうなるんだろうか？

　調べてみれば、工場出荷時設定に戻したらば多くのルーターにて、インターネット側（WAN側）からブラウザで接続できるようになった（一部の古い製品ではできなかったのだが）。
　IDに関しては、ログオン時にIDを指定せずパスワードだけを入力する製品や、デフォルトで決まったIDがそのまま使われる製品があった。
　そして一番問題なのは、パスワード。初期パスワードは同一機種ならば全て同一であり、しかも説明書にバッチリ書かれているではないですか！

　メーカーサイトでは、pdf形式の説明書が堂々と配布されている。

　つまり、ターゲットのIPアドレスと製品の形式がわかれば、（ログオンのIDとパスをデフォルトのまま変更していない場合では）簡単に相手のルーターの設定画面へブラウザで接続・ログオンできる可能性がある。

検索エンジン経由による、ルーターハック

　Google検索から、ログオン画面に表示される文字列で検索すると、幾つかの個人のブロードバンドルーターを見つけられた。
　“見つけすぎる”検索エンジンも困りもの（ITmedia）と似たような話である。

　自宅でサーバー立てないならば、インターネット側（WAN側）からのアクセスは全て叩き落すように設定するのがベター。
　（いや、むしろ工場出荷時の設定で、そのようなトラフィックは全てブロックするように、メーカーが改善するべきなんだろうか）

　（最近ではブロードバンドルーターでは、WAN側からの設定画面への接続を無効化する設定の説明がマニュアルに書かれており、メーカーもその問題を認識してると思われる）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-01-15 中古ルーターの売買に伴う危険性（http://d.hatena.ne.jp/LucaLuca/20050115）を修正・加筆し移転したものです。