2020年6月初旬、NURO光に関して以下のエントリが話題となりました。
NURO光でIPv6接続した際、一部のONUではセキュリティに問題という内容になっています。
僕もNURO光を使っているので心配になり、使用中のONU「HG8045Q」で検証してみました。
一部のONUはIPv6でファイアウォールが設定できないようですが、今回の記事ではあわせて対策方法も紹介します。
目次
【NURO光】IPv6のファイアウォールをオンにできない
NURO光の通信方式は、従来のIPv4だけではなく、IPv6での通信も可能となっています(IPv4/v6デュアル方式)。
IPv4(動的)に加えてIPv6(動的)でのネットサービス利用が可能となるIPv4/v6デュアル方式のご提供 となります。IPv4アドレスはもとよりIPv6アドレスに対応したインターネット接続サービスをご利用いただけるようになります。
【出典】NURO光 – IPv6対応
光回線事業者からレンタルできるホームゲートウェイやルーターは、通常IPv6用のファイアウォール(IPv6 FW)が実装されていて、外部からの接続をブロックすることができます。
しかし、NURO光の一部のONUではファイアウォールが未対応となっているようです…。
レンタルできるONUのIPv6ファイアウォール(FW)対応状況です。
| SGP200W | FG4023B | ZXHN F660A | HG8045Q | ZXHNF660T | HG8045j | HG8045D | |
|---|---|---|---|---|---|---|---|
 |
 |
 |
 |
|
 |
|
|
| 有線LAN ポート数 |
3 | 3 | 3 | 3 | 3 | 3 | 3 |
| Wi-Fi対応 | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 対応規格 | 11a/b/g/n/ 11ac |
11a/b/g/n/ 11ac |
11a/b/g/n/ 11ac |
11a/b/g/n/ 11ac |
11a/b/g/n | 11a/b/g/n | 11a/b/g/n |
| ダウンロード 速度 (Wi-Fi 最大速度) |
2Gbps (1.3Mbps) |
2Gbps (1.3Mbps) |
2Gbps (1.3Mbps) |
2Gbps (1.3Mbps) |
2Gbps (450Mbps) |
2Gbps (450Mbps) |
2Gbps (450Mbps) |
| アップロード 速度 |
1Gbps | 1Gbps | 1Gbps | 1Gbps | 1Gbps | 1Gbps | 1Gbps |
| IPv6 FW (ファイア ウォール) |
設定済 | 設定済 | 設定可 | 設定可 | 設定可 | 設定可 | 未対応 |
僕が使っている「HG8045Q」も未対応とのことで、そんなバカな…!?と思い、色々と試してみました。
IPv6接続でping送信テスト
IPv6の場合、ファイアウォールが設定されていてもpingは通る場合もあり、セキュリティ上すぐに問題にはならないということです。pingコマンドでテストした結果は以前のまま残します。
まずは本当に外部から接続できてしまうのかテストしてみます。
ターミナル(コマンドプロンプト)を起動してIPv6のIPアドレスを調べ、pingコマンドを実行してみます。
IPアドレスは以下のサイトでも調べることができます。
外部からのアクセスを遮断するのが本来は望ましい挙動です。
以下の記事を参考にしながら、僕が使用しているNURO光とドコモ光それぞれで、IPv6でネットに接続してpingを受信できるかどうか試してみます。
僕は仕事柄、光回線はドコモ光(プロバイダはGMOとくとくBB)、auひかり(プロバイダはSo-net)、NURO光の3つを使用しています。
どの光回線もIPv6通信が可能です。
WindowsやMacには、コマンドを入力して様々な処理を実行できる「ターミナル」というソフトウェアが搭載されています。俗に言われる黒い画面のあいつです。
pingコマンドは、ターミナル上で実行できるネットワークに接続できるかどうかをテストできるコマンドです。
ドコモ光
まずはドコモ光で検証します。
プロバイダはGMOとくとくBBを使用していてIPv6(v6プラス)で通信ができます。
ONUはNTTの「GE-ONU」、ルーターは無料レンタルしているNECの「Aterm WG1900HP2」です。
pingコマンドを実行したのですが、タイムアウトとなり接続されない当然の結果となりました。
NURO光(ONUはHG8045Q)
いよいよNURO光で検証してみます。
他の光回線と同様にタイムアウトされれば、「IPv6のセキュリティに問題がある」という内容をくつがえすことができるのですが、結果は…
pingが通りました…!
ONUやPCの設定はなにも変更していません。
先に紹介した記事を鵜呑みにするのなら、なんとなくNURO光はセキュリティがゆるいのかなーと思ってしまう気持ちも分かります。
ちなみにIPv6アドレスは128ビット、つまり128桁の2進数からなります。すなわち2の128乗、約340澗(1澗は1兆×1兆×1兆)個という膨大な数になります。
IPv4では約43億個のIPアドレスを使えますが、IPv6では「約340澗個」という、途方も無い数のIPアドレスを使えます。
澗は2の128乗、10進数でいうと「10000000000000・・・・・・・・・」と0が36個もつくとてつもない数です。
ランダムな攻撃で、自分が使用しているIPv6アドレスがヒットしてしまう可能性は限りなく低いと言えます。
【6月12日追記】auひかり
auひかりもIPv6に対応しています。
僕はプロバイダにSo-netを使用しています。
ホームゲートウェイはNECの「Aterm BL900HW」です。
auひかりもpingは通りました。
Twitterで指摘されたのですが、IPv6でファイアウォールの設定有無に限らず、pingが通る設定になっているサービスもあるようです。
つまり、今回検証したpingコマンドの送信で、NURO光だけダメという検証はできませんでした。
ポートが空いているかどうかを外部からチェックする「ポートスキャン」という方法もあるようなので、後日検証します。
NURO光のIPv6は危ない!ということがイマイチ実証できないのですが、どなたか詳しい人に具体的に説明してほしいですね…!
【対策1】ONUでIPv6を使用しない方法
IPv6のファイアウォールをオンにできない場合、対策をするならIPv4に切り替えて使うという方法が考えられます。
僕はNURO光をIPv6をオンにして使っていますが、気になる人はIPv4のみでネットが使えることを覚えておいてください。
HUAWEI社製のONU(例: HG8045Q)
僕が使っているONU「HG8045Q」を例に手順を紹介します。
HUAWEI社製のONUであれば、手順は大体同じかと思います。
- NURO光を利用している回線で「http://192.168.1.1/」にアクセス
- 管理画面にログイン
- 「IPv6」タブを選択
- 「リソース割り当て情報」から「ルータ広告を有効にする」「DHCPv6サーバを有効にする」をチェックをそれぞれオフに変更
この手順で簡単に、NURO光のIPv4/v6デュアル方式からIPv4だけ使った接続に切り替えることが可能です。
以下のSo-netのページでIPv4に切り替わったかどうか確認できます。
IPv4で通信している場合↓
「あなたの IPv6 接続性をテストしましょう。」で調べてみても、IPv6がオフになったことが確認できます。
IPv4接続でping送信テスト
NURO光がIPv4接続となったことで、先ほどと同様にping送信テストを実行してみます。
IPv6のIPアドレスがなくなったので、IPv4のIPアドレスにpingコマンドを実行します。
IPv4アドレスなので、当然タイムアウトします。
IPv4のみで接続している間は、IPv6のIPアドレスは発行されないので安心です。
IPv4接続のみでネットは問題なく使える?
NURO光でIPv6接続をオフにして心配となるのが、ネットが問題なく使えるかどうかです。
スピードテストしてみたのですが、速度は変わらず問題ありません。
Wi-Fi(無線LAN)でも400Mbps前後が出ています。速度がちょっと遅くなったかな?という時でも200Mbps以上は出ていました。
Webサイトの閲覧ですが、若干IPv4/v6デュアル方式のほうが軽快な場面があるような気はしますが…、正直僕には体感できませんでした。
YouTubeやVODなどの動画視聴も問題ありませんでした。
NURO光はIPv4接続のみでも問題なく使えるという結果になりました!
【対策2】外部ルーターを接続する方法
NURO光のONUは、ホームゲートウェイとルーターが一緒になっている端末です。
ルーター機能を停止させることも、ブリッジモードにすることも不可なので注意しましょう。
このONUにセキュリティの不安があっても、外部ルーターを使用しセキュリティを設定すれば、それより先への不正アクセスは防止できます。
設定が面倒なのでこの方法は試していませんが、外部ルーターを使用する人は以下の記事が参考になりそうです。
【対策3】ONUを交換する
参考までに、現在NURO光で設置されるONUの情報を載せておきます。
機種を選ぶことはできず、宅内工事の際にランダムで設置されます。
| SGP200W | FG4023B | ZXHN F660A | HG8045Q | ZXHNF660T | HG8045j | HG8045D | |
|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
| 有線LAN ポート数 |
3 | 3 | 3 | 3 | 3 | 3 | 3 |
| Wi-Fi対応 | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 対応規格 | 11a/b/g/n/ 11ac |
11a/b/g/n/ 11ac |
11a/b/g/n/ 11ac |
11a/b/g/n/ 11ac |
11a/b/g/n | 11a/b/g/n | 11a/b/g/n |
| ダウンロード 速度 (Wi-Fi 最大速度) |
2Gbps (1.3Mbps) |
2Gbps (1.3Mbps) |
2Gbps (1.3Mbps) |
2Gbps (1.3Mbps) |
2Gbps (450Mbps) |
2Gbps (450Mbps) |
2Gbps (450Mbps) |
| アップロード 速度 |
1Gbps | 1Gbps | 1Gbps | 1Gbps | 1Gbps | 1Gbps | 1Gbps |
| IPv6 FW (ファイア ウォール) |
設定済 | 設定済 | 設定可 | 設定可 | 設定可 | 設定可 | 未対応 |
IPv6のファイアウォールが設定でき、かつ高速通信11acに対応しているものは「ZXHN F660A」一択となります。
開通後にONUの交換をお願いすることができます。公式には案内されていない裏情報です。
電話番号:0120-300-260
受付時間:9時~18時
※新型コロナウイルス感染拡大防止に伴い縮小運営中です。非常につながりにくいようです。
So-netマイページからならオンライン問い合わせが可能です。
(機器に関する問い合わせ先がどのページかまでは発見できませんでした…。)
サポートセンターに問い合わせたところ、既に無線LANの高速通信企画11acに対応しているONUが既に設置されている場合は交換不可、11acに未対応の場合でもメーカーをまたいでの変更はできないとのことです。
ONUが交換可能な例
僕の場合の例ですが、宅内工事の際に11acに未対応の「HG8045D」が設置されました。
開通後、11acに対応したONUに変更したいと連絡したところ、「HG8045Q」と交換してくれました。
同一メーカーだとアップグレードOKのようですね。
| 交換前 | 交換後 |
|---|---|
| HG8045D ※11ac未対応 |
HG8045Q ※11ac対応 |
| ZXHNF660T ※11ac未対応 |
ZXHN F660A ※11ac対応 |
ONUが交換不可能な例
メーカーを変更しての交換依頼や、既に11acが使えるONUが設置されている場合には交換できないようですね。
| 交換前 | 交換後 |
|---|---|
| HG8045Q ※11ac対応 |
ZXHN F660A ※11ac対応 |
| HG8045D ※11ac未対応 |
ZXHN F660A ※11ac対応 |
11ac、IPv6のファイアウォール両方に対応している「ZXHN F660A」が設置されるかどうかは運に任せるしかないという、なんともやるせないシステムではあります。
まとめ
今回はNURO光でIPv6接続する際のセキュリティに関して触れました。
今回の記事がNURO光を使っている人や、これから使ってみようと検討している人の参考になれば嬉しいです。
