C
月内に
プロバイダーが顧客間のL2分離を怠ったことで、同一セグメント内の他社デバイスが可視化され、攻撃者が容易にアクセスできる状態にあること
📌 一言でいうと
プロバイダーが顧客間のL2分離を怠ったことで、同一セグメント内の他社デバイスが可視化され、攻撃者が容易にアクセスできる状態にあることが報告されました。ARPスプーフィングによるトラフィック傍受や、MAC Telnet/Winboxを利用したルーターへのブルートフォース攻撃、OSPFによるネットワーク情報の収集などのリスクが指摘されています。対策として、WANインターフェースでのファイアウォール設定や不要な管理サービスの停止が推奨されています。
🔍該当判定
- MikroTik製のルーターを社内ネットワークの入り口(WAN側)で使用している
- プロバイダーから提供された回線で、他の会社やユーザーの機器が管理画面(Winbox等)の近隣デバイス一覧に表示される
- ルーターのWAN側(インターネット側)で、管理用サービス(Telnet, Winbox等)を有効にしたまま運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. WANインターフェースにファイアウォールを導入し、不要なトラフィックを遮断する。2. WAN側でのNeighbor Discovery、MAC Telnet、MAC Winboxなどの管理サービスを無効化する。3. ARPフィルタリングを検討し、不正なARP応答を防止する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】プロバイダー側のL2分離不備によるセキュリティリスクについて
お疲れさまです。プロバイダーのネットワーク設定不備に起因するリスクに関する情報共有です。
■ 概要
一部のプロバイダーにおいて、顧客間のL2セグメント分離が行われていないケースがあり、同一セグメント内の他社デバイスが可視化される問題が報告されています。これにより、ARPスプーフィングによる通信傍受や、管理インターフェースへの不正アクセス、OSPFを利用した内部ネットワーク情報の漏洩などのリスクが存在します。
■ 影響範囲
- L2分離が不十分なISP環境で運用しているルーター(特にMikroTik等の管理機能が有効なデバイス)
■ 対応手順
1. WANインターフェースにおけるファイアウォール設定を確認し、信頼できないソースからの通信を遮断する。
2. WAN側でNeighbor Discovery、MAC Telnet、MAC Winbox等の管理サービスを無効化する。
3. 不要な管理サービスをWAN側から排除し、VPN経由などの安全な経路に限定する。
■ 参考情報
- xakep (Соседи по проводу. Препарируем сеть провайдера)
対応優先度: 中
対応期限: 次回定期メンテナンス時まで
お疲れさまです。プロバイダーのネットワーク設定不備に起因するリスクに関する情報共有です。
■ 概要
一部のプロバイダーにおいて、顧客間のL2セグメント分離が行われていないケースがあり、同一セグメント内の他社デバイスが可視化される問題が報告されています。これにより、ARPスプーフィングによる通信傍受や、管理インターフェースへの不正アクセス、OSPFを利用した内部ネットワーク情報の漏洩などのリスクが存在します。
■ 影響範囲
- L2分離が不十分なISP環境で運用しているルーター(特にMikroTik等の管理機能が有効なデバイス)
■ 対応手順
1. WANインターフェースにおけるファイアウォール設定を確認し、信頼できないソースからの通信を遮断する。
2. WAN側でNeighbor Discovery、MAC Telnet、MAC Winbox等の管理サービスを無効化する。
3. 不要な管理サービスをWAN側から排除し、VPN経由などの安全な経路に限定する。
■ 参考情報
- xakep (Соседи по проводу. Препарируем сеть провайдера)
対応優先度: 中
対応期限: 次回定期メンテナンス時まで
Subject: [Security Advisory] Risks Associated with Lack of L2 Isolation in ISP Networks
Dear IT Administration Team,
We are sharing information regarding a security risk stemming from improper L2 isolation by some Internet Service Providers (ISPs).
■ Overview
It has been reported that some ISPs fail to isolate corporate clients into separate L2 segments. This allows devices from different customers to see each other, enabling attacks such as ARP spoofing for traffic interception, brute-forcing management interfaces (e.g., MAC Telnet/Winbox), and passive reconnaissance via OSPF.
■ Scope
- Routers and network devices deployed in ISP environments lacking proper L2 isolation (particularly those with active management services on the WAN).
■ Mitigation Steps
1. Review and tighten firewall rules on the WAN interface to drop unauthorized traffic.
2. Disable Neighbor Discovery, MAC Telnet, and MAC Winbox on the WAN interface.
3. Remove all management services from the WAN and restrict them to secure tunnels (e.g., VPN).
■ Reference
- xakep (Соседи по проводу. Препарируем сеть провайдера)
Priority: Medium
Deadline: Next scheduled maintenance window
Dear IT Administration Team,
We are sharing information regarding a security risk stemming from improper L2 isolation by some Internet Service Providers (ISPs).
■ Overview
It has been reported that some ISPs fail to isolate corporate clients into separate L2 segments. This allows devices from different customers to see each other, enabling attacks such as ARP spoofing for traffic interception, brute-forcing management interfaces (e.g., MAC Telnet/Winbox), and passive reconnaissance via OSPF.
■ Scope
- Routers and network devices deployed in ISP environments lacking proper L2 isolation (particularly those with active management services on the WAN).
■ Mitigation Steps
1. Review and tighten firewall rules on the WAN interface to drop unauthorized traffic.
2. Disable Neighbor Discovery, MAC Telnet, and MAC Winbox on the WAN interface.
3. Remove all management services from the WAN and restrict them to secure tunnels (e.g., VPN).
■ Reference
- xakep (Соседи по проводу. Препарируем сеть провайдера)
Priority: Medium
Deadline: Next scheduled maintenance window