NVR500で突然の不正アクセス警告！ICMP too largeの犯人はまさかの…

Table of Contents

🚨 突然の不正アクセス警告にドキッ！

皆様こんにちは！

自宅に突然鳴り響くアラート音。ヤマハのルーターNVR500が「不正アクセスを検知しました」と警告を発しているではありませんか！一瞬、冷や汗が背中を流れます。「まさか本当に攻撃されている？」そんな緊張の瞬間から始まった、今回のトラブルシューティングの記録をお届けします。

まず落ち着いてNVR500の管理画面にアクセスし、ログを確認します。すると、そこには見慣れない警告メッセージが並んでいました。

[INTRUSION] ICMP too large from 172.16.0.142
[INTRUSION] ICMP too large from 172.16.0.xxx
[INTRUSION] ICMP too large from 172.16.0.xxx

何度も繰り返される「ICMP too large」という文字列。外部からの攻撃かと思いきや、発信元のIPアドレスは社内ネットワークのものです。これは一体どういうことでしょうか？

ICMP（Internet Control Message Protocol）は、ネットワーク機器同士が通信状態を確認するためのプロトコルです。皆さんもお馴染みの「ping」コマンドがこのICMPを使用しています。

「ICMP too large」というエラーは、通常よりも大きなサイズのICMPパケットが送信されたことを意味します。NVR500のセキュリティ機能が、この異常なサイズのパケットを「不正アクセスの可能性あり」と判断したわけです。

内部ネットワークからの異常なトラフィック。次のステップは、問題の発信元IPアドレスがどのデバイスなのかを特定することです。DHCPリースリストを確認すると、そのIPアドレスは…なんと、部屋に置いてあるiPadでした！

実は、iOS端末やmacOSデバイスは、ネットワーク診断の一環として定期的にICMPパケットを送信することがあります。特に以下のような状況で発生しやすいことが分かっています。

問題のiPadを確認してみると、最近iOSのアップデートを行ったばかりでした。どうやら、新しいOSバージョンでネットワーク診断の挙動が変わり、より大きなサイズのICMPパケットを送信するようになったようです。

この問題への対応方法はいくつか考えられます。それぞれのメリット・デメリットを踏まえて選択しましょう。

ip filter 1 pass * 192.168.1.0/24 icmp
ip lan1 secure filter in 1

内部ネットワークからのICMPパケットを許可する設定です。ただし、セキュリティレベルは若干下がります。

NVR500の設定で、ICMPパケットサイズの警告閾値を上げることも可能です。ただし、本当の攻撃を見逃すリスクもあるため、慎重な判断が必要です。

iPadやiPhoneの場合、以下の設定で問題を軽減できることがあります。

今回、対応策1と3の組み合わせを採用しました。まず、内部ネットワークからの正常なICMP通信を許可するようフィルタを設定し、その上でiPadの不要な機能をオフにしました。

設定変更後、24時間経過しても警告は発生していません。ひとまず問題は解決したようです。

このトラブルから学んだポイントをいくつか挙げておきます。

NVR500の「不正アクセス警告」という衝撃的なアラートの正体は、iPadが送信した大きめのICMPパケットでした。一見すると恐ろしい警告も、落ち着いて原因を追究すれば、意外と身近なところに答えがあるものです。

ネットワーク機器のセキュリティ機能は、私たちを守ってくれる心強い味方ですが、時には「過保護」な反応を示すこともあります。適切なチューニングと、デバイスの特性理解が、快適なネットワーク環境を維持する鍵となります。

皆さんも突然の警告に遭遇したら、まずは深呼吸して、ログをじっくり確認してみてくださいね！