このすみノート

Webエンジニアが技術や趣味を書くブログです。

自宅の無線LAN(Wi-Fi)とネットワークセキュリティ

技術 コラム

f:id:konosumi:20180627023427j:plain

今の時代、自宅のインターネットは無線LAN(Wi-Fi)という人も、多いのではないでしょうか?

我が家の無線LANは、私が全て管理していて、接続可能な機器を制限する「MACアドレスフィルタリング」を導入しています。自宅Wi-Fiのセキュリティにも気をつけているのですが、そこまで気をつけている人は、意外にも少ないのではないかとも感じています。

ここは一つ、自宅Wi-Fiのセキュリティについて語ってみようかと思います。

目次

自宅ルータのセキュリティ設定を見直そう

基本的には、トレンドマイクロの「自宅ルータのセキュリティ設定を見直そう」に書いてある項目を実践すれば、基本的なセキュリティは保たれます。

is702.jp

ルータ機器にしっかりしたパスワードを設定する

購入したルータ機器によっては、管理画面認証の初期設定に、以下のような簡易なパスワードが設定されていることがあります。

  • ユーザ:admin
  • パスワード:password

管理画面認証を一度でも許してしまうと、ルータ機器は簡単に乗っ取られてしまいます。脆弱なパスワードが設定されているようであれば、まずは管理画面の認証パスワードを変更しましょう。

機器によってやり方は違うかもしれませんので、まずはルータの解説書を確認してください。基本的には、ルータのメンテナンスメニューの中にあることが多いと思います。

WEPを無効にしてWPA2だけを残す

古めのルータ機器に多いのですが、初期状態で2つのSSID(Wi-Fi)が有効になっている場合があります。その場合、片方がWEPで片方がWPAであることが多いです。

例えば、任天堂DS(3DSではない)などの古めの機器は、WEPという安全性の低い暗号化方式にしか対応していないのですが、おそらく古い機器用にWEPのSSIDが用意されているのではないかと推測します。

このWEPですが、かなりセキュリティ強度が低いので、必ず無効にしましょう。そして、残ったSSIDも暗号化方式はWPA2にします。

WPA2に対応していない古い機器は、残念ながらネットワークに接続できなくなってしまいます。ただ、安全はお金には変えられません。

何せ、東京五輪のサイバーセキュリティ(攻撃)対策のために、4万人のエンジニアを育てる必要があるなんて言われるような時代なのです。

japan.zdnet.com

ステルス機能でSSIDを隠す

SSIDの存在を隠すステルス機能を使うと、無線LANの周辺ネットワーク検索(SSID検索)に、自分のWi-Fi機器を表示させないようにすることができます。

ちなみに、ステルス機能は完璧なセキュリティではなく、効果はいたずら防止程度です。

無線LANルーターのSSIDはステルスにした方が良いのでしょうか? | マルウェア情報局

ただ、Wi-Fiスポットの検索で一覧として普通に表示されてしまうのはやっぱり気持ち悪いので、私は毎回設定するようにしています。

ANY接続禁止

我が家のルータでは「SSIDの隠蔽(ANY接続拒否)」となっていて、一つの設定を有効にするとステルス機能に加えてANY接続禁止も有効になるようになっています。

ANY接続とは、以下のような機能のことです。

接続先のSSID(ESSID)を空欄に設定した場合、 無線パソコンから電波が届く範囲にいる親機の中で、最も電波状態が良い親機に接続する方法のことです。

この方法を使うと、親機のSSIDがわからなくても接続が可能であるため、 フリースポットを提供している場所などで利用されています。

引用:【用語説明(ネットワーク 無線LAN)】ANY接続、ANY接続禁止 - アンサー詳細 | BUFFALO バッファロー

SSIDが分からなくても接続できるのは、一見すると便利に思えますが、それは近くにいればSSIDを知らなくても接続できてしまうという、リスクを含んでいます。

出来る限り無効にしましょう。例えば、バッファローでは以下のFAQを参照に無効にすることができます。

ANY接続を禁止する方法/無線LAN親機のSSIDを検索させなくする方法 - アンサー詳細 | BUFFALO バッファロー

接続可能な機器を制限するMACアドレスフィルタリング

MACアドレスとは、LANの接続部品に割り振られている固有の番号のことを言います。MACアドレスフィルタリングによって、接続可能な機器を制限することができます。

ルータ機器のMACアドレスフィルタリング機能に、接続可能なMACアドレスを一覧で書いていきます。

ちなみに、MACアドレスは、ネットワークに接続する機器であれば、基本的には確認できるようになっています。例えば、PS4であれば「(設定)>[システム]>[システム情報]」を選んで表示します。

但し、MACアドレスフィルタリングもまた、完璧ではありません。何故ならば、MACアドレスは偽装することも可能だからです。

news.mynavi.jp

さいごに

いくつかのWi-Fiのセキュリティを高める方法を紹介しましたが、その中でも絶対にやっておいた方が良いのは以下の3点です。

  1. 機器の管理画面のパスワードが脆弱であれば変更する
  2. WEPを無効にしてWPA2の暗号化方式だけを残す
  3. 無線LAN(Wi-Fi)の接続パスワードが脆弱であれば変更する

SSIDのステルス機能と、MACアドレスフィルタリングも、やっておいた方が良いことは確かです。但し、SSIDのステルス機能は完璧ではないですし、MACアドレスも偽装することは可能なので、万能な対策ではありません。

まずは通信の暗号化方式をよりセキュア(WPA2)にして、しっかりしたパスワードの設定から始めてみるのが良いのではないでしょうか?

konosumi 読者になる

コメントを書く