2月2日、Michael Horowitz氏のブログ「Router Security」において、「ISPのルーターを避けろ（Avoid ISP Routers）」と題した記事が公開され、海外で大きな注目を集めている。この記事では、インターネットサービスプロバイダー（ISP）が提供するルーターを避け、自前のモデムとルーターを使用するべき理由について詳しく紹介されている。

以下に、その内容を紹介する。

ISP提供機器を避けるべき主な理由

• 初期設定やメンテナンスの問題
  ISPが提供するデバイスは初期設定や継続的なメンテナンスが不十分な場合が多いという。例えば、デフォルトパスワードのまま出荷されるケースがあり、外部からの攻撃に対して極めて脆弱である。
• セキュリティと利便性のトレードオフ
  ISPはサポートコスト削減を優先するため、利便性を重視した設定を行う傾向がある。その結果、セキュリティが二の次になり、ユーザーが望むより安全性の低い機器が配布される。
• ISPによる監視の可能性
  ISPが提供するルーターには、利用者のデバイス情報やネットワーク内のトラフィック情報を収集し、本来はプライベートであるはずの情報を送信している可能性がある。実際に、Harrison Sand氏の調査 (2018年2月)で、ルーターからLAN側デバイスに関する情報がISPに送信されていた事例が報告されている。
• 攻撃者の主な標的になりやすい
  ISPが大量の顧客に同一の機器を配布しているため、特定のモデルに脆弱性が見つかった場合、一斉に攻撃を受けるリスクが高い。一部の調査では、多数のISP提供ルーターが公衆ホットスポットとしても利用される見込みがあるとされ、こうした機器は攻撃者にとって「一度に多くのユーザーを攻撃できる」魅力的なターゲットとなる。
• 公衆Wi-Fiネットワークへの転用
  Comcastなどの大手ISPは、顧客宅ルーターを公衆Wi-Fiネットワーク（Comcast XFINITY WiFiなど）としても利用している。この仕組みのセキュリティは十分に確保されているとは限らず、ユーザーにとってリスク要因になりうる。Cablevisionも同様の取り組みを行っており、第三者からは懸念が表明されている。
• 設定の制限
  ISPが配布する機器は管理者権限の自由度が低い場合があり、DNSサーバー変更などユーザー本位のセキュリティ設定を行えないことがある。イギリスのBT Business HubやSky Broadband、フランスの一部ISPではDNSサーバー自体を変更できないとの報告がある。また、Arris TG1682Gの例のように、LAN IPアドレスの変更が制限されるケースもある。
• ファームウェアアップデートの制限
  ファームウェア更新は脆弱性に対処するうえで必須だが、ISP提供機器の場合、ユーザー側での自由な更新やバージョンダウンが認められていない場合がある。これにより、既知の脆弱性が長期間放置されるリスクが生じる。
• 故障時のバックアップ不足
  ISPは基本的に1台の機器しか貸与しないため、故障した際には交換品が届くまでネットワーク環境が止まってしまう。自前でモデムやルーターを用意していれば、緊急時に即座に代替が可能である。
• レンタル料などコスト面でのデメリット
  ISP提供機器の中には月額レンタル料が加算されるものがある。長期的に考えると、市販のモデムやルーターを購入するほうが結果的に安価になる場合が多い。Time Warner CableやComcastでも、利用者が自前で機器を購入する手段を案内している。

ISP提供ルーターに起因する具体的なトラブル事例

1. 大規模な脆弱性や不具合の放置

• SkyルーターのDNSリバインディング脆弱性 (2021年)
• Verizon FIOSルーターの複数脆弱性 (2018年12月)
• Talk TalkルーターのWPS脆弱性 (2018年5月)
• Arrisケーブルモデムのバックドア (2015年11月)

これらの脆弱性はいずれも長期間修正されずに放置され、最終的に多くのユーザーが影響を被った事例である。

2. 顧客データ漏洩

• Comcastの顧客データ漏洩 (2018年5月)
• Comcastが再びデータ漏洩 (2018年6月)

Comcastが提供する機器を対象とする脆弱性から顧客情報（住所、Wi-Fiパスワードなど）が流出し、攻撃者に悪用される可能性があったという。

3. ISPの不適切な対応やセキュリティ設定

• Spectrumがゴキブリ入りルーターを送付 (2023年)
• Skyが600万台のルーターを18カ月放置
• Virgin MediaルーターのVPN脆弱性 (2019年以前から未修正)
• Skyのファームウェア更新による顧客オフライン化 (2019年4月)
• TR-069/CWMPを悪用した攻撃の拡大 (2017年4月)
• AT&T U-Verseゲートウェイに複数のバックドア (2017年9月)
• DEF CON 25 (2017年) での発表：大手ISPが配布する機器から26の脆弱性が発見された

これらはすべて、ISPが配布するルーターの脆弱性や不十分なアップデート、リモート管理設定などに起因するトラブルである。

ISP市場の独占とセキュリティ意識の低さ

アメリカでは、地域によってISPが事実上1社しか選べない場合も多く、ISPの競争環境が非常に乏しいのが現状である。そのため、ISP側には高いセキュリティを担保するインセンティブが生まれにくいという指摘がある。

2017年初頭、ニューヨーク州でTime Warner Cable（Spectrum/Charter）がインターネット速度に関する虚偽の説明で提訴された例や、大手ISPの問題点を指摘する記事でも明らかなように、ISPに対する信頼度は低下している。

また、ISPが提供する機器のコスト面は大きな問題だとされる。Comcastの機器レンタルに関する批判記事でも指摘されている通り、長期利用において自前のモデムやルーターを調達する方が総額では安くなる場合が多い。

結論

ISP提供のルーターは、セキュリティ上の課題が多く、アップデート体制や設定自由度、コスト面でのメリットにも疑問が残ると記事では主張している。特にアメリカのようなISP市場が寡占化されている国では、ユーザー側がモデムとルーターを自前で用意し、機器の設定やアップデートを自主的に行うことが推奨される。

詳細はAvoid ISP Routersを参照していただきたい。