Wi-Fiは長年にわたり進化しており、ワイヤレスネットワークを保護する技術も進化しています。インターネットで検索すると、古くなっていて安全でなくなったり、関連性がなくなったり、あるいは単なる迷信に過ぎない情報が見つかる可能性があります。
信号とノイズを分離し、Wi-Fi ネットワークを保護する最新かつ効果的な手段をご紹介します。
誤解その1:SSIDをブロードキャストしない
すべての無線ルーター(または無線アクセスポイント)には、ネットワーク名が割り当てられています。専門用語ではサービスセット識別子(SSID)と呼ばれます。デフォルトでは、ルーターはビーコンでSSIDをブロードキャストするため、ルーターの通信範囲内にいるすべてのユーザーは、自分のPCやその他のデバイスでネットワークを確認できます。
ルーターがこの情報をブロードキャストしないようにし、ネットワークに接続させたくない人から情報を見えなくするのは、一見良いアイデアのように思えます。しかし、Windows 7以降を搭載したPCなど一部のデバイスは、ネットワーク名で識別できなくても、存在するすべてのネットワークを認識しており、隠されたSSIDを暴くのは比較的簡単です。実際、このようにSSIDを隠そうとすると、近くのWi-Fiハッカーの興味をそそり、ネットワークに機密データが含まれている可能性があると思わせてしまう可能性があります。
ルーターのビーコンにSSIDが含まれるのを防ぐことはできますが、データパケット、接続/再接続要求、プローブ要求/応答にSSIDが含まれるのを防ぐことはできません。KismetやCommView for WiFiなどの無線ネットワークアナライザーを使えば、電波からSSIDを瞬時に検出できます。
SSID ブロードキャストを無効にすると、ネットワーク名は一般ユーザーからは見えなくなりますが、熟練したハッカーや近所のふざけている子供など、ネットワークへのハッキングを企む人にとっては障害にはなりません。
誤解その2: MACアドレスフィルタリングを有効にする
ネットワーク上のすべてのデバイスは、固有のメディアアクセス制御(MAC)アドレスによって識別されます。MACアドレスは、00:02:D1:1A:2D:12のように、コロンで区切られた英数字の文字列です。ネットワークに接続されたデバイスは、ネットワーク上でデータを送受信する際に、このアドレスを識別情報として使用します。ルーターを設定して特定のMACアドレスを持つデバイスのみにアクセスを許可することで、ネットワークを保護し、不要なデバイスの接続を防止できるという、技術的な神話があります。
このような設定手順は簡単ですが、面倒な作業です。ネットワークへの接続を許可したいすべてのデバイスのMACアドレスを確認し、ルーターのユーザーインターフェースに表示される表に入力します。表にないMACアドレスを持つデバイスは、たとえワイヤレスネットワークのパスワードを知っていたとしても、ネットワークに接続できません。
しかし、この操作は面倒な作業です。無線ネットワークアナライザーを使うハッカーは、ネットワークへの接続を許可したすべてのコンピュータのMACアドレスを把握し、苦労して作成したテーブルにあるMACアドレスと一致するように自分のコンピュータのMACアドレスを変更することができます。この手順を実行しても、ネットワーククライアントのMACアドレスの完全なリストが他の用途に役立つと思われる場合を除き、時間の無駄になるだけです。
MACアドレスフィルタリングは、一般ユーザーが許可されていないコンピューターやその他のデバイスからルーターに接続するのをブロックするのに役立ちますが、攻撃を仕掛けるハッカーを阻止することはできません。ただし、ルーターに新しいデバイスを追加するたびに、またはゲストに一時的なアクセスを許可するたびにルーターの設定を行う必要があるため、正当なユーザーによるネットワークへのアクセスは困難になります。
誤解その3:ルーターのIPアドレスプールを制限する
ネットワーク上のすべてのデバイスは、固有のインターネットプロトコル(IP)アドレスで識別される必要があります。ルーターによって割り当てられるIPアドレスは、192.168.1.10のような数字の列で構成されます。デバイスがルーターに送信するMACアドレスとは異なり、ルーターは Dynamic Host Control Protocol(DHCP)サーバーを使用して、ネットワークに接続する各デバイスに固有のIPアドレスを割り当て、送信します。ある根強い技術的な神話によると、ルーターが割り当てるIPアドレスのプール(例えば192.168.1.1から192.168.1.10の範囲)を制限することで、ネットワークに接続できるデバイスの数を制御できると言われています。これはナンセンスで、次の主張も同じ理由でナンセンスです。
誤解その4:ルーターのDHCPサーバーを無効にする
この神話の背後にある誤った論理は、ルーターのDHCPサーバーを無効にし、各デバイスにIPアドレスを手動で割り当てることでネットワークを保護できると主張しています。割り当てられたIPアドレスを持たないデバイスは、ネットワークに接続できないはずです。このシナリオでは、MACアドレスの場合と同様に、IPアドレスとそれらが割り当てられたデバイスを含むテーブルを作成します。また、各デバイスが指定されたIPアドレスを使用するように手動で設定する必要があります。
これらの対策を無効化する弱点は、ハッカーが既にネットワークに侵入している場合、簡単なIPスキャンでネットワークで使用されているIPアドレスを特定できることです。ハッカーは、ネットワークへの完全なアクセス権を取得するために、対応するアドレスをデバイスに手動で割り当てることができます。MACアドレスフィルタリングと同様に、IPアドレスを制限する(または手動で割り当てる)ことの主な効果は、承認した新しいデバイスをネットワークに接続するプロセスを複雑にすることです。
神話5:小規模ネットワークへの侵入は難しい
この迷信は、無線ルーターの送信出力を下げると、自宅や職場の外にいる誰かが検知できず、ネットワークに侵入しにくくなると主張しています。これはセキュリティ対策の中でも最も愚かな考えです。無線ネットワークをハッキングしようとする者は、ルーターの信号を拾うために大きなアンテナを使います。ルーターの送信出力を下げると、正当なユーザーにとっての到達範囲と有効性が低下するだけです。
神話ではない:暗号化は最高のネットワークセキュリティ
Wi-Fiセキュリティに関する5つの誤解を解き明かしたので、次はワイヤレスネットワークを保護する最善の方法、つまり暗号化についてお話ししましょう。ネットワーク上を流れるデータを暗号化(つまりスクランブル化)することは、盗聴者が意味のある形でデータにアクセスするのを防ぐ強力な方法です。盗聴者はデータ通信を傍受してコピーを盗むことはできるかもしれませんが、暗号化キーを持っていない限り、情報を読み取ったり、ログインパスワードを盗み取ったり、アカウントを乗っ取ったりすることはできません。
長年にわたり、様々な暗号化方式が登場してきました。Wi -Fi初期には、 Wired Equivalent Privacy(WEP)が最も優れたセキュリティを提供していました。しかし、今日ではWEP暗号化は数分で解読される可能性があります。ルーターが提供するセキュリティがWEPのみの場合、あるいはネットワーク接続されたデバイスの一部が古すぎてWEPでしか動作しない場合は、それらをリサイクルして新しい規格にアップグレードする時期がとっくに過ぎています。
その後、 Wi-Fi Protected Access(WPA)が登場しましたが、このセキュリティプロトコルにもセキュリティ上の問題があり、WPA2に置き換えられました。WPA2は10年近く前から存在しています。お使いの機器が古すぎてWPAのセキュリティしか使えない場合は、アップグレードを検討することをお勧めします。
WPA と WPA2 には、パーソナル (別名 PSK、 Pre-Shared Keyの略) とエンタープライズ (別名 RADIUS、 Remote Authentication Dial In User Server の略) の 2 つのモードがあります。WPA パーソナルは家庭での使用を想定して設計されており、セットアップが簡単です。ルーターにパスワードを設定し、Wi-Fi ネットワークに接続する各コンピューターやその他のデバイスにそのパスワードを入力するだけです。大文字と小文字、記号を組み合わせた 13 文字以上の強力なパスワードを使用する限り、問題ありません。辞書に載っている単語、固有名詞、人名、ペットの名前などは使用しないでください。強力なパスワードは h&5U2v$(q7F4* のようになります。
ルーターには、Wi-Fi Protected Setup(WPS)と呼ばれるプッシュボタン式のセキュリティ機能が搭載されている場合があります。WPSを使用すると、ルーターのボタンとクライアント(クライアントもWPSに対応している場合)のボタンを同時に押すことで、デバイスをWPA2で保護されたワイヤレスネットワークに接続できます。しかし、WPSにはブルートフォース攻撃に対して脆弱な脆弱性があります。セキュリティを特に重視する場合は、ルーターのWPSを無効にすることを検討してください。
エンタープライズモードのWPA2は、企業や組織が運営するネットワーク向けに設計されています。WPAよりも高いレベルのセキュリティを提供しますが、RADIUSサーバーまたはホスト型RADIUSサービスが必要です。
ネットワークを保護するための最善の方法がわかったので、ルータが適切に設定されていることを確認するために数分を費やしてください。
