キヤノンMJ/サイバーセキュリティ情報局
自宅Wi-Fiのセキュリティ対策はまずこの4つ
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「自宅のWi-Fi環境で押さえておきたい4つのセキュリティ対策のポイント」を再編集したものです。
リモートワークの際にWi-Fiを使っている人は少なくないはずだ。しかし、無線という目に見えないものを使用しているということは、自分の知り得ない第三者による不正アクセスのリスクも生じていることになる。この記事では、なかでも自宅Wi-Fi環境のリスク対策・安全に使うためのポイントについて解説する。
リモートワーク時に自宅Wi-Fiを利用することによるリスク
2020年以降の新型コロナウイルス感染拡大を受けて、感染症対策としてオフィスでの業務を回避することがひとつのトレンドとなっている。また、いわゆる働き方改革を源流とする、ワークスタイルの刷新も近年の大きな社会的トピックと言える。その影響で広がっているのが、リモートワーク・テレワークなど職場を離れたリモートでの業務遂行だ。その際に表面化しやすい問題の代表が、自宅などからパソコンをネットワークに接続する方法ではないだろうか。
多くのユーザーの場合、リモートワークの業務は主に自宅で行なうことになる。そのため、利用するネットワーク環境もほとんどの場合、自宅のネットワーク環境ということになるはずだ。最近はWi-Fiが普及していることもあり、自宅のネットワークは無線LAN環境を前提としているユーザーも多いのではないだろうか。
無線LANルーターを利用することで、LAN環境の存在などをあまり意識しなくてもWi-Fiを利用できるようになっている。一例として機器の接続を挙げると、WPS(Wi-Fi Protected Setup)やAOSS(AirStation One-Touch Secure System)といった簡単な接続設定を用いることで、画面の表示に応じて操作すれば、ほぼ前提知識なしで初期設定は完了してしまう。
しかし、「無線」という可視化できないアクセス手段を使用しているということは、言い換えれば、自身の目が届かないところで知らない人がアクセスできるということでもある。つまり、不特定他者による不正アクセスのリスクが生じているということだ。また、無線LANルーターの同一ネットワーク内のユーザー間では、端末、およびルーターの設定次第ではファイルやデータの共有も可能となる。このような機能は、本来便利なものだが、悪意のある第三者によって悪用されてしまうと、データを盗み出される可能性もある。
スマホやパソコンに業務上の顧客情報や機密情報を保存したままとなっているユーザーも少なくないはずだ。これらの端末を自宅のWi-Fiネットワークに接続することで、情報漏えいが起こる可能性があるというリスクをしっかりと認識しておきたい。
自宅Wi-Fi利用におけるリスク対策
自宅Wi-Fi環境におけるリスク対策は、「接続させない」、「接続されても制御させない」、「暗号化してデータを読ませない」の3つとなる。
1)SSIDのネーミング・設定を変更
無線LANルーターの圏内にあるネットワーク機器には、接続可能なアクセスポイントのSSIDが通知される。このSSIDを「taro-yamada-home」のような、個人を類推できてしまう命名は避けるようにしたい。仮に無線ルーターの所有者を知り得たユーザーが、所有者の個人情報から暗号化キーを推測するというようなこともできてしまうためだ。もちろん、暗号化キーも誕生日や電話番号のような、個人情報が絡む文字列にすべきではない。
また、機種によっては製造元や機種の名称に関連する文字列がSSIDに含まれていることがある。その場合はすぐに、原形をとどめない名称へ変更しておきたい。仮にその機種の脆弱性が発覚した場合、その機種を狙った攻撃のターゲットとなりかねないからだ。その製造元の無線LAN 機器に脆弱性が見つかった場合、悪意のある第三者はツールを用いてその機器を探し出すのだ。
また、SSIDステルス機能を利用してアクセス先の候補として常に表示させないようにする方法もある。ただし、端末が検出されることは防げないため、この方法でセキュリティリスクが根本的に解消されるわけではないことに注意したい。
無線LANルーターのSSIDはステルスにした方が良いのでしょうか? [更新]
https://eset-info.canon-its.jp/malware_info/qa/detail/150709_4.html
2)ルーター管理用IDやパスワードを複雑に
工場出荷時の初期設定のままで無線LANルーターを利用するのも避けるようにしたい。というのも、無線LANルーターのなかには、初期設定ユーザーID・パスワードが機種ごとに一律で設定されているものが少なからず存在する。そのうえ、機種によってはマニュアルがインターネットで公開されており、パスワードを誰でも知ることができるようになっている場合すらある。そのため、悪意のある第三者が機種名を把握できれば、管理画面へ侵入して設定を書き換える可能性もあるのだ。少なくともログイン用のパスワードだけでも、複雑で推測できないものに変更すべきだろう。
3) WPA3などの最新ネットワークセキュリティ規格を使用
接続に使用するWi-Fiのセキュリティ方式について、2021年時点ではWPA3を利用するのが望ましい。WPA3はWPA2で大きな懸念とされたKRACK(Key Reinstallation AttaCKs)と呼ばれた脆弱性を、SAEハンドシェイクの技術を採用したことで解消している。この技術により、ブルートフォース攻撃などのパスワード突破を狙う攻撃の被害を防いでいる。
WPA3はWi-Fi 6から対応された新しいセキュリティ規格で、最近の機種では多くのものが採用している。今後、新たなルーターを購入する場合は、WEPやWPA2の規格のみ対応している機種は避けるようにしてほしい。価格を重視するあまり、中古のWi-Fiルーターを調達してリモートワークに使用するといったこともおすすめできない。なお、最近のiPhoneではTKIPのWPA2のネットワークに接続する場合、アラートが上がることがある。
Wi-Fi 6は安全かつ高速なネットワーク接続を実現する?
https://eset-info.canon-its.jp/malware_info/special/detail/210119.html
4) ルーターのファームウェアを最新に
無線LANルーターは、そのルーターの製造元が、機能改善やセキュリティ向上のためにファームウェアをアップデートすることがある。ほとんどの機種の場合、無線LANルーターの設定画面にアクセスすると現在使用しているファームウェアのバージョンを確認できるはずだ。製造元のウェブサイトを確認すると、最新のファームウェアが登録されている。ただし、最近のルーターでは自動でファームウェアをアップデートする機能が搭載されている機種が多くを占めるため、自動アップデート機能を有効にしておくことで、アップデート漏れを防ぐことができる。
ここ最近、アップデートに関する製造元の考え方に変化が見られることにも注意が必要だろう。というのも、これまで著名な大手企業の製品には長期サポートが付随するというのが一般的であったが、長期にわたるサポートが大きな負担・コスト増となるため、サポート期間を制限する企業も出てきている。
ユーザーとしては、購入時にファームウェアのアップデートやセキュリティパッチ提供のポリシーなどを確認してから購入するのが望ましい。また、企業向けの製品ではSLA(Service Level Agreement:サービス品質保証)なども確認してから購入するようにしたい。テクニカルサポート期間およびハードウェア保証期間が満了した製品に関する問い合わせは、有志によるフォーラムなどで解決を促すメーカーもなかには存在する。
自宅Wi-Fiという「ネットワーク」の保護は必須
昨今のスマホの普及もあって、インターネットへの接続は有線ではなく無線が基本というユーザーがほとんどではないだろうか。なかには有線で接続するという行為自体を知らないユーザーもいるほどだ。その結果、Wi-Fiルーターを用いたインターネット接続も、スマホと同様に通信回線へ直結するとみなしてしまいがちだ。しかし、Wi-Fiでの接続の場合、ルーターが構築したネットワークを経由していることを強く認識しておきたい。
同一のネットワークに接続するパソコンやスマホなどが、マルウェアに感染していれば感染が広がるリスクがある。こうした事態を防ぐために、「ゲストポート機能」を利用することを1つのアイデアとしてご紹介したい。
ゲストポート機能とは、ホームネットワークと分離し、ゲスト用にインターネット接続限定の回線を提供する機能だ。家の中のLANなどにはアクセスさせず、あくまでもインターネットにのみ通じる通路だけを分けて提供する。「ゲスト用Wi-Fi」、「ネットワーク分離機能」と呼ばれることもある。
例えば、あるメーカーの無線LANルーターの場合、ゲストポート機能をONにすると、「Guest-XXXX」という名のゲスト専用のSSIDが表示される。このSSIDにアクセスすると、既存のネットワークへの接続は許可されず、隔離された状態でインターネットだけが利用できるようになる。
この機能を応用し、業務用の端末の場合にはホームネットワークを利用、同居人などがインターネット接続する場合はゲストポートへ、と使い分けることで、先のような感染拡大のリスクは低減するだろう。すでにホームネットワーク上にNASなどを配置している場合は逆に、家族がホームネットワーク、業務のみゲストポートを使用するという方法でも良いだろう。
また、Wi-Fi接続するパソコンに総合セキュリティソフトをインストールしておくことも対策として講じておきたい。例えば、総合セキュリティソフトであるESET インターネット セキュリティが搭載する「ホームネットワーク保護」機能は、管理画面上から無線LANルーターの圏内にいるほかの端末をチェックできる。これで、不審な端末が接続していないかを確認できるのだ。かつてのようなウイルスチェック機能だけでなく、総合的な安全性を確保するためのツールとなっているセキュリティソフトも活用しながら、適切にネットワークを保護するようにしてほしい。