ホームネットワークのセキュリティは、ルーターやゲートウェイの設定次第です。ネットワークを無防備なままにしておくと、せいぜい帯域幅を占有するフリーローダーに侵入されてしまう可能性があります。最悪の場合、スヌーパーが内部トラフィックを覗き見し、悪用される可能性のある機密情報を入手しようとするかもしれません。
承認されたデバイスのみがネットワークに接続されるようにするには、セキュリティを強化するための簡単な手順をいくつか実行できます。手順については以下で説明します。ゲートウェイ(インターネットサービスプロバイダーから提供されるモデムとルーターが一体になった機器)でこれらの設定の一部にアクセスできない場合は、ルーター部分をオフにし、従来型またはメッシュ型の専用ルーターを使用することを検討してください。
パスワードを変更する
ルーターの使用年数によっては、管理者パスワード (管理インターフェイスへのアクセスを許可)とWi-Fi パスワードの両方を変更する必要がある場合があります。
古いルーターでは、管理者アカウントのパスワードがデフォルトで非常に単純なもの(「admin」と「password」など)に設定されていることが一般的で、オンラインで簡単に見つけることができます。また、ネットワークの暗号化を有効にした際に、単純で解読可能なパスワードを選択した可能性もあります。どちらの場合も、新しく強力なパスワードを設定しましょう。パスワード生成器を内蔵したパスワードマネージャーを使うのが最適です。パスワードは完全にランダムなのでより安全で、マネージャーがパスワードを忘れないようにしてくれます。(優れた無料パスワードマネージャーもあるので、堅牢なオンラインセキュリティを実現するために費用をかける必要はありません。)
新しいルーターは、デフォルトでランダムなパスワードが設定されていることがよくあります。ルーターやゲートウェイにパスワード情報が印刷されている場合は、特にデバイスへの物理的なアクセス権を制御できない場合は、パスワードを変更しても問題ありません。ただし、新しいパスワードは必ず管理し、前述のようにパスワードマネージャーなどを使用して管理するようにしてください。
暗号化を有効にする
メタモルワークス / ゲッティイメージズネットワークトラフィックは常に暗号化する必要があります。最近では、最高のセキュリティを求めるならWPA2を選びましょう。WPAや古臭いWEPといった古いプロトコルでは十分な保護ができません。ルーターが新しいWPA3プロトコルに対応している場合は、試してみるのも良いでしょう。WPA3はWPA2の改良版ですが、接続するすべてのデバイスがWPA3に対応している必要があります。ほとんどの人は今のところWPA2を使い続け、家庭内のすべてのデバイスがWPA3に移行できるようになったら、WPA3に切り替えるのが良いでしょう。
WPA2暗号化を設定する際、ルーターの設定でWPA2パーソナルとWPA2エンタープライズのどちらかを選択できる場合は、WPA2パーソナルを選択してください。また、TKIPとAESが異なる暗号化オプションとして表示されている場合は、より強力なAESを選択してください。
WPAでしか通信できない古いデバイスをお使いの方は、ルーターのアップグレードをご検討ください。わずか50ドル(セールを待てばもっと安くなるかもしれません)で、セキュリティ強化、高速化、そして豊富な機能を手に入れることができます。WEPしかサポートしていない古いルーターをお使いの方は、今すぐ交換しましょう。オープンネットワークへの移行は、ほんの一歩です。
インターネットを他の人と共有したいという理由で暗号化をオフにしている人へ:その利他主義には敬意を表しますが、そのせいで後悔しないようにしましょう。前述の通り、暗号化をオフにすると、他人があなたのインターネットトラフィックを盗聴し、あなたの活動(銀行取引を含む)の手がかりを得る可能性があります。これは将来、厄介な問題につながる可能性があります。
SSIDを変更する
クラウドトラックスネットワーク名は慎重に決めましょう。一般的な名前にしましょう。ただし、あまりありふれた名前ではなく、自分のアドレスが明らかにならない名前にしましょう。
サービスセット識別子(SSID)は、無線ネットワークの名前です。Wi-Fiネットワークに接続しようとすると、Linksys616、D-Link2289、555MainSt、We Have No Wi-Fi Hereなどが表示されます。
古いルーターはデフォルトで非常に単純なパスワードや簡単に破られるパスワードを設定しているため、SSIDを個人を特定できない単語やフレーズに変更することで、ハッカーが簡単に侵入できる場所を探しているのを阻止できます。SSIDをlinksysのままにしておくと、抜け目のないハッカーに、ルーター管理用のパスワードが「admin」になっている、かなり古いLinksysルーターを使っていることに気付かれる可能性があります。もしこのパスワードを変更していない場合(ほとんどの人は変更していません)、自宅のネットワークはハッカーの侵入を許す格好の標的となります。
時代が進むにつれて、多くのルーターはSSIDにメーカー名と数字列(多くの場合は型番)の組み合わせを使用するようになり、デフォルトの管理者パスワードの検索がさらに容易になります。工場出荷時にランダムなパスワードを発行する最新のルーターでない限り、さらに脆弱になる可能性があります。そのため、SSIDを変更しましょう。(住所は使用しないでください。個人を特定されやすくする必要はありません。)
注:数年前までは、SSIDをブロードキャストしないこと、つまり、近隣の利用可能なWi-FiネットワークのリストにSSIDが表示されないようにすることが推奨されていました。しかし、難読化によるセキュリティ対策は、現状では効果がありません。無線スペクトラムスキャナーを使えば、隠されたネットワークを簡単に発見できることが証明されているからです。SSIDブロードキャストを無効にすると、ネットワークへの接続が困難になるため、SSIDは表示したままにしておき、利用可能な最も強力な暗号化を使用し、非常に強力なWi-Fiパスワードを作成する方が一般的に賢明です。
リモートアクセスをオフにする
一部のルーターでは、ホームネットワーク外から管理者アカウントにアクセスできる場合があります。この機能は無効にしてください。この機能をオンにしたままにしておく必要がある人はほとんどいないため、無効にすると、誰かがルーターの範囲内にいて接続に成功しなければ、不正行為を試みることができなくなります。後者のシナリオから身を守るには、暗号化を有効にし、SSIDを変更し、WPS(詳細は後述)をオフにしてください。
Wi-Fi Protected Setup (WPS) を無効にする
TPリンクこの古い TP-Link ルーター (2010 年頃) では、ボタンを押すことで WPS をアクティブ化できます。
WPA2や旧式のWPAプロトコルでは、Wi-Fiアクセスに複雑なパスワードが必要です。そのため、これらのネットワークへの接続を簡素化するために、ルーターメーカーはWi-Fi Protected Setup(WPS)という機能を提供し始めました。しかし、これは簡単に解読される可能性があるため、時間の節約になるとはいえ、無効にすることをお勧めします。
この機能は、同じデバイスにパスワードと、よりシンプルな別の認証方法の両方を設定するようなものです。Windows 10 PCや最新のモバイルデバイスでは、暗証番号(PIN)や指紋認証がこれにあたります。パスワードを入力する代わりに、短いPINを入力するか、指をリーダーにかざすだけで済みます。
WPSも同様の仕組みですが、設定にデフォルトで組み込まれています。一般的な実装方法は2つあり、8桁のPINを使用するか、ルーター上のボタン(物理的または仮想的に)を押してデバイスを認証し、ネットワークへの接続を許可するかのいずれかです。PIN方式の方が脆弱性が高く、ハッカーは総当たり攻撃でPINを推測でき、クラッキングによってルーターがロックされ、ネットワークへのサービス拒否攻撃を引き起こす可能性があります。
プッシュボタン方式に関しては、ルーターに物理的にアクセスできる人なら誰でも、それを迂回的に使用して Wi-Fi パスワードを判別できるため、アクセスを制限し続けたい場合は、この機能を有効のままにしておくと努力が無駄になる可能性があります。
ルーターのファームウェアを最新の状態に保つ
ルーターのファームウェアには、時間の経過とともに脆弱性が発見されることがあります。定期的にアップデートを行うことで、これらの脆弱性を修正できます。最近の多くのルーターには、管理者アカウントのインターフェースに自動通知とアップデート機能が組み込まれているため、ホームネットワークのセキュリティ対策は容易です。アップデートがそれほど簡単ではないルーターでも、ルーターのサポートページにアクセスして最新のファームウェアバージョンを確認すれば、手動で簡単にアップデートできます。新しいファームウェアが利用可能な場合は、ダウンロードし、手順に従ってルーターにアップデートを適用してください。
UPnP(およびファイアウォール保護を回避する機能)を無効にする
TheIgel69 / ウィキメディア・コモンズUPnPアーキテクチャの技術図。ホームユーザーの場合、ネットワークセキュリティを強化するためにここまで技術的な詳細を深く理解する必要はありません。単にオフにするだけで十分です。
ユニバーサルプラグアンドプレイ(UPnP)は、ルーターに広く搭載されている機能で、ネットワークデバイス同士が簡単に互いを見つけられるようにします。この拡張機能として、UPnPはVoIPサービスやコンソールでのオンラインゲームを正常に動作させる際に役立ちます。UPnPにより、他のネットワークのデバイスからアクセスできるようになります。一部のルーターには、メーカーが「非武装地帯」(DMZ)と呼ぶ機能が搭載されています。これは、デバイスのすべてのポートをインターネットに公開できるモードです。これはUPnPよりも強力なオプションです。
インターネットに公開されているポートはすべて脆弱性となります。Windowsにファイアウォールが組み込まれているのには理由があります。それは、悪意のある人物によるアクセスからPCを保護するためです。悪意のある人物は、多くの場合、DDoS攻撃にあなたのマシンを利用しようとします。また、誰かがあなたのデバイスを占有している場合、あなたはそれを使用できなくなります。
デバイスのポートを開いたままにせず、DMZのような機能は無効にしてください。UPnPも多くの場合不要なので、これも無効にしてください。代わりに、手動ポート転送を使用してください。
スマートホームデバイス用のゲストネットワークを設定する
PCワールド簡素化された電話アプリ インターフェースからゲスト ネットワークを設定する例。
ゲスト ネットワークは、一部のルーターの機能で、ホーム ネットワークにアクセスするための別の SSID とパスワードを設定できるものです。ゲスト ネットワーク上のユーザーは、プライマリ ネットワーク上のデバイス (およびそのトラフィック) を表示できなくなります。
ゲストのインターネットアクセスを家庭のインターネットアクセスから分離することで、自宅のデバイスのトラフィックの盗聴を最小限に抑えることができます。ゲストネットワークは、ベビーモニター、スマートスピーカー、その他オンラインに接続できるものの、乗っ取られて盗聴攻撃に利用されるのを防ぐための強力なセキュリティ対策が不十分なスマートデバイスなど、安全性の低いデバイスに対する優れた防御策にもなります。
ルーターの管理者アカウントへのWi-Fiアクセスを無効にする
ルーターの管理者アカウントに頻繁にログインする人は多くありません。また、一部のルーターでは、管理者アカウントのアクセスを有線イーサネット接続のデバイスのみに制限できます。そのため、これらの権限を本当に制限したい場合は、この機能をオンにしてください。そうしないと、誰かがルーターを管理するには、物理的なアクセスと有線デバイスの両方が必要になります。
この設定は、PCから管理者アカウントにログインするユーザーに最適です。スマートフォンやタブレットなどのデバイスでも動作しますが、デバイスにイーサネットケーブルを接続するには適切なドングルが必要です。
MACフィルタリングを有効にする
マイケル・ブラウン / IDGMAC アドレスの例。
インターネット対応デバイスはすべて、メディアアクセス制御(MAC)アドレスを持っています。MACアドレスは、6組の英数字をコロンでつないだ形式で構成された一意の文字列です。MACアドレスは、PC、スマートフォン、その他の機器がルーターに自身を識別するためのアドレスです。
MACアドレスに基づいて、特定のデバイスにWi-Fiを利用可能にすることができます。これはMACフィルタリングと呼ばれ、ルーターの許可リストにMACアドレスが含まれている場合にのみアクセスを許可します。VIPリストをチェックする用心棒のように、ルーターはリストに含まれていないデバイスからのWi-Fi接続をブロックします。たとえ正しいWi-Fiパスワードを入力しても、ブロックはブロックされます。
MACアドレスフィルタリングは、ネットワークへの不正アクセスを阻止するものであり、鉄壁の保護層を追加するものではないことに注意してください。MACアドレスは偽装される可能性があります。そのため、許可リストに登録されているデバイスのMACアドレスを偽装したデバイスは、Wi-Fiパスワードを使ってルーターに接続できてしまいます。
自宅でのMACアドレスフィルタリングは、外出中の匿名性を損なう可能性があります。AndroidとiOSの最新バージョンでは、ランダム化されたMACアドレスを使用することで、その識別子による追跡の可能性を低減しています。多くの人は、自宅でWi-Fiに接続するたびにルーターの許可リストを新しいMACアドレスで更新しなければならないため、MACアドレスフィルタリングのこの機能をオフにするでしょう。
