このページの本文へ

ESET/サイバーセキュリティ情報局

無線LANに接続する際に気をつけるべきことは?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「無線LANのアクセスポイントに接続する際に気をつけるべきこと」を再編集したものです。

 現在、無線LANは多くの場所で利用されているが、そのセキュリティに懸念を抱くことも少なくないはずだ。無線LAN、そしてその接続先となるアクセスポイントではどういったセキュリティ対策が必要なのか。この記事では、無線LANの基礎知識を踏まえ、セキュリティで注意すべき点とその対策について解説する。

無線LANとは

 LANとは「Local Area Network」の略称で、無線で構築されたLANは無線LANと呼ばれている。ほかにも、ネットワークの類別として、「WAN(Wide Area Network)」、「PAN(Personal Area Network)」などが挙げられる。

 無線WANとは英語表記のとおり、ワイドなエリア、つまり広範囲をカバーするネットワークのことであり、身近なものとしては携帯電話回線の「LTE」などがある。また、無線PANとは微弱な電波や赤外線を用いて、極めて狭い範囲の通信のことだ。

 無線PANの代表例としては、スマートフォン(以下、スマホ)からイヤフォン、パソコンからマウスなどを接続するのに広く使われている「Bluetooth」が挙げられる。そのほか、アップル社のAir Tagなどで採用されている「UWB(Ultra Wide Band)」、家電などで採用されている「ZigBee」なども該当する。

 無線LANとして、最も知られている言葉は「Wi-Fi」だろう。最近の一般的なユーザーの認識では、「無線LAN=Wi-Fi」とほぼ同義とみなす傾向にある。Wi-Fiは正確に言えばブランドであり、米国「Wi-Fi Alliance」のお墨付きを得た製品にWi-Fiのロゴが使用される。

 技術的には、無線LANの技術規格「IEEE 802.11」を採用していることが前提条件となる。原則として2.4GHz帯、5GHz帯を使用し、無線免許が不要で誰もが使えるのが特徴だ。多くのパソコンやスマホなどの端末がこの規格に対応しており、普及率が非常に高い。また、2022年4月時点では、新しい製品の多くが「Wi-Fi 6」の規格に対応している。

Wi-Fi 6は安全かつ高速なネットワーク接続を実現する?
https://eset-info.canon-its.jp/malware_info/special/detail/210119.html

アクセスポイントとルーターの違い

 一般的に、パソコンやスマホなどの端末は「アクセスポイント」を経由してインターネットに接続される。つまり、アクセスポイントとは無線LANのネットワーク内で接続する機器の通信の出入り口と考えるとイメージしやすいだろう。ルーターは、あるネットワークから外部ネットワークに接続する役割を担う機器のことを指す。スマホなどの端末が無線LANを利用する場合、アクセスポイントを経由し、ルーターを介してインターネットへ接続することになる。

 しばしば混同されがちなアクセスポイントとルーターだが、その理由の1つとして、最近の機器では双方の機能が一体化されていることが挙げられる。すなわち、最近では「アクセスポイント=ルーター」ともみなせるため、言葉の違いに混同してしまいがちだ。

 また、最近では無線LANの接続先としてアクセスポイントという名称を使用し、その接続のための機器をルーターと呼ぶ傾向にある。「無線LANルーター」という言葉は聞き馴染みがあるはずだ。両者を判別しづらいという背景に、アクセスポイントから先がモバイル回線になっている「モバイルアクセスルーター」などもあり、省略して「モバイルルーター」などと呼ばれていることもあるだろう。

無線LANに暗号化が必要な理由

 アクセスポイントにはSSIDと呼ばれるIDがそれぞれ割り振られており、接続する際には接続先のSSIDを指定し、ネットワークセキュリティキーを入力する必要がある。しかし、自宅に設置する家庭用無線LANルーターでは、「WPS(Wi-Fi Protected Setup)」や「AOSS(Air Station One-Touch Secure System)」に対応している機器が多い。

 この機能に対応している機器の場合、アクセスポイントのボタンを押すことで、ワンタッチで一定のセキュリティ設定を施した接続が可能だ。こうした機器を利用することで、特別な知識やスキルも不要で接続できてしまうため、セキュリティへの意識も希薄になりがちだが、セキュリティリスクは少なからず残るということは頭に入れておきたい。

 まず、注意すべき点の代表例は通信内容が傍受される可能性だ。先述のとおり、無線LANはSSIDとネットワークセキュリティキーが把握できれば接続できてしまう。脆弱なアクセスポイントを探すために自動車などで市街地を走り回る「ウォードライビング」という言葉も存在するほどだ。そのため、ネットワークセキュリティキーを推測されづらいものに設定するのは当然のことながら、加えて、無線LANの通信自体を暗号化することで安全性が高まる。

 また、個人情報や機密情報などを送受信する場合、通信内容の暗号化にも配慮する必要があるだろう。誕生の経緯も関係して、インターネットでは基本的に暗号化での通信を前提としておらず「平文」での通信が原則となっている。しかし、世界的なコンプライアンス重視の傾向やWebブラウザーの提供元の啓蒙活動の結果、近年はSSL/TLS暗号化を使用したHTTPSプロトコルで通信を行うWebサイトが普及している。

 ただし、HTTPSプロトコルによる通信は任意でしかなく、Webサイトによっては未だにHTTPプロトコルによる平文で通信する仕様のままのWebサイトも存在する。こうした暗号化されていないWebサイトの場合は、個人情報や機密情報の送受信は避けることだ。暗号化の有無は、Webブラウザーのアドレスバーに「錠」のマークがあるかどうかで判別できる。

安全な接続方法「SSL」や「TLS」とは?
https://eset-info.canon-its.jp/malware_info/special/detail/200903.html

Wi-Fiの認証方式と暗号化の方法

 Wi-Fiでは技術の進展に伴い、新たな認証方式が登場している。ここで言う認証方式とは、接続時の端末や接続先を認証するための規格のことだ。認証方式の主なものには「WEP」、「WPA」、「WPA2」、「WPA3」があり、それぞれ用いられる暗号化方式、暗号化アルゴリズムが異なっている。古い規格から順に並べると以下のとおりだ。

・WEP(Wired Equivalent Privacy)
 過去にさまざまな脆弱性が発見・報告された規格。容易に暗号化を解除できてしまうため、2022年現在ほぼ使われていない。

・WPA(Wi-Fi Protected Access) 
 暗号キーをセッションごとに更新する方式(TKIP・CCMP)にするなど、安全性を強化している。WPA2の登場以降、新しい機器で利用されることは少なくなっている。

・WPA2
 内部で使っている暗号化アルゴリズムを従来のRC4からAESに強化している。WPA3の登場まで主流だった規格だ。2022年時点で稼働している古いルーターなどではWPA2が利用されているものもある。

・WPA3 
 WPA2からさらに、SAE(Simultaneous Authentication of Equals)・ログイン試行ブロックなどの機能強化を行った規格。2018年6月に標準化されたこともあり、近年発売されるルーターではWPA3がほとんどの機器で利用されるようになっている。

 4つの認証方式の中で最もセキュリティ的に強固なのは、最新の認証方式であるWPA3だ。いわゆる「Wi-Fi 6」として用いられている規格であり、WPA2で確認された「KRACK」などの脆弱性も解消されている。

 WPA3では暗号化アルゴリズムとしてCNSA(Commercial National Security Algorithm)が追加されたことで、192ビットの鍵長を有する強固な暗号化を実現可能となっている。強固な暗号化を施すことで、アクセスポイントへの接続時におけるネットワーク内での傍受を困難としているのだ。

無線LANの暗号化方式、WPA2のTKIPとAESの違いとは?
https://eset-info.canon-its.jp/malware_info/special/detail/200227.html

アクセスポイントが抱える脆弱性

 アクセスポイントへの接続に用いる認証方式においても、しばしば脆弱性が発覚している。先述のKRACKをはじめ、認証方式に脆弱性を抱えた機器を利用すると、通信内容を傍受される可能性があるので注意したい。以下、過去に見つかった大きな脆弱性を2つ紹介する。

・2017年、WPA2に発覚したKRACK 
 KRACKでは複数の脆弱性が報告されたが、最も致命的だったのはWPA2プロトコル経由で暗号化したデータの送受信を行う際に、第三者の妨害タイミングが合致すれば、暗号データの復号やデータ注入が可能となることだった。データの傍受、盗聴、MTM(Man-in-The-Middle)攻撃による改ざんなどが可能となってしまう。

 この脆弱性が発覚した当時、致命的な問題として関連事業者が迅速な対応を行った。修正アップデートにより、Wi-Fiを使用する多くのパソコン、スマホ、ゲーム機器などのドライバー・ファームウェアも、この脆弱性に対応した。

・2019年、WPA3に発覚したDragonblood
 WPA3が用いる接続開始手順の「Dragonfly」の脆弱性を利用し、「ダウングレード攻撃」などが行えるという脆弱性。ダウングレード攻撃とは、WPA3圏内にWPA2規格の不正な無線LANアクセスポイントを仕込み、無線LANを中継させて行う。

 正規のWPA3通信に接続して共有鍵を有する無線LANクライアントに、脆弱なWPA2ハンドシェイクを実行させることで、攻撃者がWPA2のクラッキングツールを悪用可能となるのだ。この脆弱性についても、アクセスポイント、およびWi-Fiクライアントのドライバー・ファームウェアの修正・アップデートによって解消された。

 いずれの脆弱性もアクセスポイント、Wi-Fiクライアントのドライバー・ファームウェアの修正・アップデートで解決に至った。すなわち、常にアクセスポイント、接続端末ともにファームウェア、OSを最新の状態にしておくことがこうした攻撃への重要な対策となり得るということだ。

アクセスポイントで講じるべきセキュリティ対策

 アクセスポイントでセキュリティを強化するためにできることは少なくない。以下、例を挙げていく。

・容易に推測できるようなセキュリティキーを避ける(電話番号・番地など)
 認証に「弱いパスワード」を設定することは不正アクセスの温床となり得る。同様に、アクセスポイントにおけるパスワード、セキュリティキーについても単純で推測されやすいものにしてしまうと、不正にネットワークに侵入されかねない。過去には初期設定で「password」としている機器などもあったが、近年販売されている機器では複雑なキーが設定されている。しかし、初期設定のままになっているものは変更しておくことが望ましい。パスワード生成ツールなどを利用し、複雑なものに設定するようにしたい。

・ルーターの管理はLAN内のみ可能とする
 インターネット経由で外部から管理する必要性がないのであれば、管理画面へのアクセスをLAN内に制限すること。外部からの不正アクセスによる設定情報の書き換えといった行為を予防できる。

・ファームウェアは常に最新状態を維持する(もしくは自動更新をON)
 最近の無線LANルーターはファームウェアを自動更新にできるものが多い。この機能をONに設定しておくことで、先述のKRACKやDragonbloodのような危険性の高い脆弱性が見つかった場合でも、自動で修正アップデートが行われる。ただし、製品には保守期限が必ずあるものだ。製品の検討時にはいつまで自動更新が行われるかを検討材料に入れる必要があるだろう。

・SSIDを機種が推測できないものへ変更する
 アクセスポイントのメーカーや機種が推測できてしまうSSIDは少なくない。しかし、こうした状態を放置しておくことは、攻撃材料を与えてしまうようなものだ。例えば、メーカーと機種が分かれば、過去の脆弱性を調べることも容易だ。

・必要以上に電波強度の強いルーターを使用しない
 集合住宅などではありがちだが、必要以上に広範囲をカバーするルーターを利用してしまうことで、近隣でも電波自体は傍受できてしまう。接続の確実性を求めて強力な電波のルーターを検討しがちだが、その結果として電波傍受のリスクがあることにも気を付けたい。

・ルーターのログを定期的に確認(あるいは不審な端末の接続時に警告されるよう設定)
 一般的な家庭の無線LAN環境に対しても不正アクセスは行われている。ほとんどの場合、こうしたアクセスはルーターによって拒否されるが、中には執拗にアクセスを続けるケースもある。そのため、インターネット側からのログを確認することを推奨したい。また、ルーターによってはアラート機能を有しているものもあるため、その設定をONにすることも検討したい。

自宅のWi-Fi環境で押さえておきたい4つのセキュリティ対策のポイント
https://eset-info.canon-its.jp/malware_info/special/detail/211007.html

Wi-Fi端末側でのセキュリティ対策

 いわゆるクライアント端末と呼ばれる、パソコンやスマホなどの端末、そしてユーザー自身でも注意すべき点がある。以下、必要な対策を挙げていく。

・接続先のアクセスポイントの真偽を確認
 通信の傍受を狙うために、「野良Wi-Fi」と呼ばれるアクセスポイントが設置されていることがある。こうしたアクセスポイントに接続してしまうと、通信内容を傍受されかねない。過去に接続したことがあったアクセスポイントであっても、その都度チェックするようにしたい。

・ネットワークをパブリックに設定(ネットワーク上のファイル共有の禁止)
 ネットワーク設定を「プライベート」にしている場合、LAN内のパソコンやスマホから共有ファイルを閲覧されてしまう可能性がある。また、ファイルなどの改変の可能性も懸念される。そのため、自宅外などでは基本的に「パブリック」に設定しておくことで、こうしたリスクを回避することが可能だ。

・SSL/TLS通信以外で重要情報を送受信しない
 先述のように、SSL/TLSプロトコルを利用しない通信環境では重要情報が盗み見されるリスクがある。送信する情報ごとに、重要性を自ら判断し、懸念がある場合は送受信を避けること。また、特に重要度の高い金融取引などでは、セキュリティソフトなどに搭載されている「セキュアブラウザー」を利用することで安全性が高まる。ESETでは「インターネットバンキング保護」機能として提供している。

 また、基本的な対策となるが、パソコンやスマホではドライバーやOSで脆弱性を解消するセキュリティアップデートが行われるため、こうしたアップデートがリリースされたら、速やかに適用しておきたい。

 一般に公表された脆弱性については、ほぼ確実に攻撃者が狙っていると考えてよいだろう。無線LANは利便性も高く、その利用障壁も大きく下がってきているが、目に見えない電波を利用するだけに、その危険性を直視できない。そうした状況が時に危険な状態を招きかねないのだ。しかし、適切に対策を講じることでリスクは確実に軽減する。過度に恐れる必要はないが、適切な対策を講じてその利便性を享受するようにしたい。

カテゴリートップへ