家庭用ルーターの 81% がデフォルト・パスワードを使用:3,242 名のユーザーを対象にした調査結果

81% Router Usres Have Not Changed Default Admin Passwords, Exposing Devices to Hackers

2025/10/27 CyberSecurityNews — 2025年後半における調査で明らかになったのは、ブロードバンド・ユーザーの 81% がルーターのデフォルト管理者パスワードを一度も変更していないという事実であり、それにより、深刻なマルウェア・リスクにさらされていることが判明した。Broadband Genie が実施した第4回ルーター・セキュリティ調査により、この広範に及ぶ無防備さが明らかになった。この調査は、消費者のサイバー・セキュリティ意識の進捗を評価する目的で、3,242 名のユーザーを対象に行われた。

規制当局からの圧力やメディアによる指摘が高まっているが、いまだに多くのユーザーが脆弱な状態にあり、家庭内ネットワークや接続デバイスが侵害の危険にさらされている。

この問題の根本的な原因は、ユーザーの認識不足と、分かりにくいルーター・インターフェイスという長年の課題にある。

多くの消費者はルーターのセットアップを、”プラグを差し込み、接続して Web を閲覧する” 程度の簡単な作業と考えている。しかし、この状態では、攻撃者にとってゲートウェイが無防備に開かれているのと同じである。オープンな Web 上でメーカーのデフォルト管理者認証情報を、攻撃者たちが容易に入手できることを忘れてはならない。

このような情報が悪用されると、攻撃者はデバイスに深く侵入し、監視/DNS 改竄/内部ピボット/永続的なマルウェア・インストールなどを可能にする。

このアーキテクチャ上の脆弱性が、新たなマルウェアの波を引き起こし、設定が不十分な家庭用ルーターを標的とする侵入キャンペーンが自動化されていく。

ブロードバンド研究者たちが指摘するのは、認証情報に対するブルートフォース攻撃/デフォルト・パスワード攻撃を、主要なベクターとして採用するマルウェアが急増していることだ。こうした攻撃により侵害されたルーターは、ボットネット/フィッシング攻撃/データ窃取キャンペーンの出発点となる。

インシデントに関連するレポートが示すのは、脅威アクターがエクスプロイトを自動化する容易さである。デフォルトで設定されている既知の認証情報ペアや、Web インターフェイスを悪用する攻撃者は、家庭の IP アドレス・ブロック全体にわたって、デフォルト・ログインを高速に切り替えるスクリプトを展開している。

攻撃ベクターの詳細:感染メカニズム

これらの攻撃の中心にあるのは、自動化されたクレデンシャル・スタッフィング手法である。そのプロセスにより、一般的に知られているルーターの管理者ユーザー名とパスワードが、悪意のログオンにおいて体系的に試行され、アクセス権が取得されていく。

そして、ポスト・エクスプロイトとして配信される典型的なペイロードにより、コンフィグ情報の窃取と永続的なアクセスが自動化される。以下の例が示すのは、 Python を使用するマルウェアがブルートフォース・ループを開始し、ルーターの管理パネルを乗っ取るという、典型的なコード・スニペットである。

import requests

def brute_force_admin(target_url, creds_list):
    for username, password in creds_list:
        response = requests.post(f"{target_url}/login", data={"user": username, "pass": password})
        if "dashboard" in response.text:
            print(f"Compromised: {username}:{password}")
            return True
    return False

# 一般的な認証情報での使用例
credentials = [("admin", "admin"), ("user", "1234"), ("root", "password")]
brute_force_admin("http://192.168.1.1", credentials)

攻撃に成功すると、展開されたマルウェアにより、DNS 設定の変更/セキュリティ・アップデートの無効化/リモート・バックドアの構築などが実行され、標的デバイスは脅威アクターの支配下に置かれる。Broadband Genie のレポートによると、永続的なルーター・マルウェアは、デバイスが再起動された後であっても、変更されていない認証情報を悪用して再感染を繰り返すケースが多いという。

81% have not changed the router administrator password (Source – Broadband)

この持続的な脅威の状況が明確にするのは、デフォルト管理者の認証情報を変更することの重要性である。そして、新たなルーター・マルウェア亜種の追跡および対策において強調されるのは、ブロードバンド・セキュリティ研究が果たす継続的な役割である。

この記事が示しているのは、家庭用ルーターに設定されたデフォルトの管理者パスワードが変更されないまま、使われている問題です。それは、ユーザーのセキュリティ意識の低さと、設定画面の分かりづらさに起因しています。結果として、攻撃者は公開情報から既知の認証情報を使ってルーターに侵入し、DNS 改竄やマルウェアの永続化を容易に行える状態にあります。最近は、認証情報を自動で試行するスクリプト攻撃が横行しており、こうした構造的な脆弱性がボットネット拡大の温床になっていると、この記事は指摘しています。よろしければ、2025/10/14 の「10万以上のノードを持つ大規模ボットネットを発見:RDP 攻撃の拡大を研究者たちが警告」を、ご参照ください。