このページの本文へ

ESET/サイバーセキュリティ情報局

自宅Wi-Fiにおけるセキュリティリスクや安全に利用するための対策

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Wi-Fiのパスワードは解析可能?不正な侵入を防ぐための対策とは?」を再編集したものです。

 日常生活でも、テレワークを含めた業務利用においても、Wi-Fi経由のインターネット接続はもはや欠かせない。しかし、Wi-Fiにはセキュリティリスクも存在するため、ネットワークの適切な設定が求められる。この記事では、Wi-Fi利用にまつわるリスクや、Wi-Fiの暗号化方式を解説した上で、安全に利用するための対策を紹介する。

自宅Wi-Fiのパスワード解析は可能か

 テレワークが普及し、自宅のWi-Fi経由で業務に関する情報をやり取りしたり、社内システムへログインしたりする人も今や少なくない。自宅で業務に取り組むにあたって、Wi-Fiのセキュリティについて考えてみる必要があるのではないだろうか。

 過去から現在に至るまで、Wi-Fi通信のセキュリティを強化するために、さまざまな暗号化方式が開発されてきた。暗号化方式の詳細については後述するが、そうしたセキュリティを高める新たな規格が登場するたびに、その規格を突破するための手法やツールが生み出されてきたという経緯がある。

 いわゆる「いたちごっこ」のような状況で、今も変わりがない。実際、オンライン上にはWi-Fiのパスワードを割り出せるような解析ツールが氾濫しており、誰もが容易に入手可能な状態にある。例えば、こうしたツールは本来、企業内で機器やネットワークの稼働状況の検査やサイバー攻撃の懸念要素を洗い出す際に用いられるものだ。しかし、こういったツールにありがちだが、悪用されることが少なくない。

 具体的には、攻撃者は「hashcat」や「wifite」といったツールを用いて、Wi-Fi通信でやり取りされるデータの盗聴を試みる。これらは、利用頻度の高い単語でログインを試行することでパスワードを解析する「辞書攻撃」や、考えられるすべてのパターンを試す「総当たり攻撃」を実行できる。辞書攻撃では、わずか数秒で解読に至る場合もある。複雑かつ桁数が長いパスワードでない場合、総当たり攻撃で容易に解読されてしまう。

 また、無線LANルーターに単純なパスワードを設定していた場合、最新の暗号化方式を使ったWi-Fiであっても、パスワードは解読されてしまうのだ。

自宅Wi-Fiにおけるセキュリティリスク

 自宅やSOHO、零細企業のような職場環境で周りにセキュリティに詳しい人が存在していない場合、基本的なセキュリティ対策も講じられておらず、セキュリティリスクが生じる場合も多い。具体的には、以下のようなリスクが想定される。

1)情報漏えい

 自宅Wi-Fiの暗号化が適切に設定されていない場合、通信内容を盗聴される恐れがある。さらに、ネットワーク内に侵入されれば、より重要な情報が漏えいする可能性もある。例えば、自宅・会社のネットワーク内に保存されている業務に関する情報、あるいは、クレジットカードの決済情報などが流出するリスクがある。

2)タダ乗り

 Wi-Fiの名称(SSID)やパスワードが類推されやすいものになっている場合、他者に無断使用される恐れがある。マンションや密集住宅地など、隣家との距離が近いところで発生し得る。無断使用されてしまうと、通信内容の解読、あるいは通信速度の低下につながる可能性がある。

3)犯罪行為の踏み台

 Wi-Fiにタダ乗りされることで、違法アップロードをはじめとした犯罪行為に悪用されるリスクも生じる。IPアドレスをもとに犯罪者を捜査する過程で、そのWi-Fiの所有者が疑われてしまう可能性も否定できない。

内部記事リンク: 自宅のWi-Fi環境で押さえておきたい4つのセキュリティ対策のポイント
https://eset-info.canon-its.jp/malware_info/special/detail/211007.html

Wi-Fiの暗号化方式

 Wi-Fiのセキュリティレベルを高めるためには、通信の暗号化方式を適切に選択する必要がある。以下に、Wi-Fiの主な暗号化方式を紹介する。

1)WEP(Wired Equivalent Privacy)

 Wi-Fiの安全性を有線のレベルまで高めることを目的に、業界団体であるWi-Fiアライアンスが1997年の「IEEE802.11」策定の際に標準化した規格を指す。いくつかの規格で採用されているRC4と呼ばれる暗号化のアルゴリズムを用いているものの、秘密鍵の長さが40bit(英数半角5文字)と短く、解読されるリスクが高いため、現在では利用が推奨されていない。

2)WPA(Wi-Fi Protected Access)

 WEPのセキュリティレベルに対し、各所から懸念の声が上がったため、新たに2002年に策定された規格がWPAだ。暗号化のアルゴリズムには引き続きRC4が採用されたが、暗号化する手順にTKIPという手法を採用した。設定された暗号パスワードをそのまま使うのではなく、送受信ごとに切り替わる一時鍵を利用するなど、暗号鍵生成のプロセスを複雑にし、解読を困難にしている点が特長だ。

3)WPA2(Wi-Fi Protected Access 2)

 WPAの後継規格として、Wi-Fiアライアンスによって2004年に策定された規格がWPA2だ。RC4よりも強固なAES(Advanced Encryption Standard)を用いて、CCMP(Counter mode with CBC-MAC Protocol)と呼ばれる暗号化方式を採用したことに加えて、最長256bitの長さの暗号鍵が利用できることで安全性が強化された。

 また、暗号変換に関して、WEPが採用したデータを順次暗号化する「ストリーム暗号」ではなく、データをブロック化して暗号化する「ブロック暗号」を行っているという違いがある。

 WPAも同様であるが、大規模なネットワークに対応可能な企業向けの「WPA2-エンタープライズ」と、小規模な環境で用いるための「WPA2-パーソナル」が用意されている。

4)WPA3(Wi-Fi Protected Access 3)

 IoT(Internet of Things)機器に代表されるように、近年、ネットワークに接続するデジタル機器が急激に増加している。このようなトレンドを想定して、2018年に策定されたのがWPA3だ。これは、2017年にWPA2において、深刻な脆弱性が発覚したことを契機にWPA3の策定が進められたことが背景にある。

非常に高度なセキュリティレベルを満たしており、デバイスとWi-Fiルーターとの接続時の暗号化を強化することで、通信を傍受する中間者(MITM)攻撃のリスクを軽減している。

 また、「ドラゴンフライ(DragonFly)」と呼ばれるプロトコルを実装したため、パスワードの堅牢性が高まり、辞書攻撃、総当たり攻撃のリスクが大きく低減するのも特長の1つだ。昨今、普及が進む「Wi-Fi 6」のセキュリティ規格にもなっている。

内部記事リンク:Wi-Fi 6は安全かつ高速なネットワーク接続を実現する?
https://eset-info.canon-its.jp/malware_info/special/detail/210119.html

Wi-Fiを安全に利用するための対策

 Wi-Fiを安全に利用するには、最新のWPA3に準拠した機器の利用が推奨される。WPA2では中間者(MITM)攻撃によって通信の盗聴や改ざんが行われるKRACKと呼ばれる脆弱性が報告されている。WPA3では、これらの脆弱性を解消する仕組みが導入された。

 WPA3対応のWi-Fiルーターを利用する際には、自らが利用するデバイスの対応状況も確認する必要がある。2018年以降のパソコンやスマートフォンであれば、WPA3に対応している可能性が高いが、それ以前のものについては注意しておきたい。

 また、先述のようにWPA3ではDragonflyを採用したことで、パスワードの堅牢性は高まっている。しかし、巧妙な解析ツールによってパスワードが割り出されてしまうリスクはゼロではない。初期設定のパスワードが単純なものであれば、複雑かつ長い文字列で、類推しにくいパスワードに変更しなければならない。そのほかにも、以下のような対策が考えられる。

1)ルーターのファームウェア更新

 Wi-Fiルーターの脆弱性が放置されたために、不正アクセスにつながった事例は多数見受けられる。通常、脆弱性が発覚した際には、ルーターの提供事業者が修正パッチを配布している。しかし、その配布されたこと自体に気づかず、修正パッチを適用しないまま放置してしまう危険性があるのだ。可能であれば、ルーターの管理画面上からファームウェアの自動更新を設定しておくとよい。

2)SSIDの名称変更

 Wi-Fiの名称(SSID)に、ルーターの機種や所有者の名前が含まれる場合がある。特定のルーターに紐づく脆弱性を狙う攻撃によって、サイバー攻撃の被害に遭ってしまう恐れもある。何らかの個人情報や機種情報が含まれないよう、SSIDの名称を変更しておくとよいだろう。

3)ルーター管理画面のパスワード変更

 Wi-Fiに接続する際のパスワードだけでなく、ルーターの管理画面にもパスワードが設定されている。管理画面のパスワードが解析され、不正アクセスされると、セキュリティ設定が変更される可能性がある。その結果、さらなる被害が生じ得るリスクがある。

4)デバイスの接続制限、接続機器の管理

 自らが所有している機器のみがWi-Fiに接続可能な設定にすれば、そのほかの機器からはアクセスできなくなる。各デバイスが固有に持つMACアドレスを登録することで、接続制限をかければセキュリティを高めることが可能だ。また、来客時にWi-Fiへ接続できないという懸念に対しては、最近のルーターでは「ゲストモード」を別途用意できるものもあるため、来客用に設けておくという方法もある。

 加えて、自らのネットワーク内にどういった機器が接続されているのか、定期的に確認するようにしたい。例えば、セキュリティソフトの「ESET インターネット セキュリティ」は「ネットワーク検査」機能を搭載している。この機能により、ネットワークに接続しているデバイスを可視化したり、ルーターの脆弱性検査を実施したりすることが可能だ。

 デジタル機器の利用が広がるとともに、コロナ禍を経てテレワークも浸透しつつある。こうした状況を踏まえると、今後もますます自宅Wi-Fiにおけるセキュリティの重要性は高まる一方だ。先述した対策のように、適切な機器の選択と設定が命運を大きく分けることになる。今後も加速するであろうデジタル化の恩恵を最大限に享受するためにも、安全性の確保には十分に留意するようにしてほしい。

カテゴリートップへ