Wi-Fiのセキュリティ対策する設定方法！無線LANの暗号化以外にできることは？

自宅に光回線や挿すだけWi-Fiを使ってWi-Fi環境を設置する人は少なくありません。しかし、その多くは購入時やプロバイダから支給された時点での初期設定のままで運用されています。実は、これはWi-Fiルーターのセキュリティが低い非常に危険な状態で、いつルーターが攻撃されてもおかしくないシチュエーションなのです。

しかし、ただ「セキュリティが低い」と言ってもそれによってどんな不都合が起こるのかが理解できなければ、対策の採りようもありません。そこで、まずはセキュリティの低い無線LANにはどんな問題が起こるのかを説明します。

無線LANはケーブルを接続せずに簡単にインターネットにアクセスできる便利な仕組みです。しかし、それはあなた以外の人にとっても同じメリットがあります。大きな一軒家でWi-Fi環境を調えている場合は表面化しにくい問題ですが、アパートやマンション、隣の家と接近している場合などは、近隣のWi-Fiの電波を自宅で感じ取れるはずです。

それは逆に言えば、あなたの家のWi-Fiの電波を周囲の人も感知できるということです。そのときに、Wi-Fiルーターのセキュリティ強度が低ければ、簡単にWi-Fiルーターにアクセスされてしまいます。その結果あなたの自宅のWi-Fiは、以下の4つの危険にさらされることになります。

部外者がWi-Fiにアクセスした場合、Wi-Fiの暗号化されたパスワードをくぐり抜けると、ルーターの管理画面にアクセス可能となります。管理画面にアクセスするにはユーザー名とパスワードが必要ですが、工場出荷時から設定を変えていない場合は、簡単に管理画面にアクセスされて、ルーター以下のネットワークが乗っ取られてしまいます。

ルーターを乗っ取られると、各種設定を自由に弄られてしまい、場合によってはパスワードを変更されてあなたがアクセスできなくなります。しかし、実はこのように明確に乗っ取りが判明するのは、続く3例と異なり、むしろわかりやすいうえに、ハードウェアリセットをかけることで初期化できるため、ありがたいくらいなのです。

乗っ取りよりも困るのが、あなたの家の無線LANを勝手に利用されることです。あなたの家のセキュリティの低いWi-Fiの電波が届く範囲であれば、お隣や家の前などからもWi-Fiにアクセスして、自由にインターネットにアクセスできてしまいます。パスワードを設定して暗号化していなければもちろんのこと、暗号化してあっても解読されればそれまでです。

あなたの無線LANを勝手に利用されると、あなたの利用しているWi-Fiの帯域が圧迫されて通信速度が落ちるだけでなく、非合法なアクセスのためのステップとして使われることも少なくありません。そうした行為があなたのルーターからのアクセスである、という履歴が残るため、場合によっては罪をなすりつけられる可能性すらあります。

無線LANの通信が暗号化されず、平文でやり取りされていた場合、その電波を受信した人が内容をそのまま確認することが可能です。これはパスワードを設定せずに暗号化されていない自宅のWi-Fiのみならず、パスワードがかかっていない公衆無線LANでも同じことが言えます。

こうした状態で銀行などのサイトにアクセスすればもちろん、AmazonなどのEコマースサイトで買い物などすると、それらのサイトのIDとパスワードのみならずクレジットカードの情報などが流出しかねません。サイトがhttpsで暗号化されていればまだしも、パスワードで暗号化されていないWi-Fiはセキュリティが低すぎるので利用しないのが賢明です。

先の「勝手に利用される」の項と被りますが、Wi-Fi経由でウイルスを仕込まれる可能性もあります。それによって、スマートフォンやPCでの履歴を盗まれてIDやパスワードが流出したり、あなたのスマートフォンやPC経由でほかのサイトに攻撃を仕掛けたり、銀行口座への振り込みを実行させられたりするかもしれません。

他人があなたのWi-Fiにアクセスするということは、このような危険を呼び込むことになるのです。

ここまで、脅すようなことを記してきましたが、しっかりとWi-Fiルーターのセキュリティを強化しておけば、不正アクセスは怖くはありません。そのためには、以下の4つの処置を行ってください。
 

1. Wi-Fiのパスワードを突破されてもWi-Fiルーターを守れるように機器設定用のパスワードのセキュリティ強度を高める
2. アクセスポイントの名前であるSSIDを初期設定から変更してメーカーがわからないようにし、かつ個人を特定できないようなものにする
3. アクセスポイントに接続するためのパスワードを変更し、セキュリティ強度を高める
4. Wi-Fiの暗号化強度を高めて、セキュリティ強度を高める

まず、最初に行うべきはWi-Fiルーターのパスワードの変更です。Wi-Fiを無断で利用されたとしても、最悪Wi-Fiルーターに自由にアクセスさえされなければ、いろいろと対応することが可能です。しかし、Wi-Fiルーターのパスワードが初期のままの場合、次に述べるSSIDなどで機種が判明すると簡単に工場出荷時のIDとパスワードがわかってしまいます。

そんな事態を避けるために、Wi-Fiルーターの管理画面からパスワードの設定を変更して、セキュリティを強化してください。もちろん、「1111」や誕生日、家の番地のような類推されやすいパスワードは絶対に設定しないでください。

無線LANのアクセスポイントの名前であるSSIDも変更してください。初期のままのではWi-Fiルーターの機材名がわかるため、それだけで不正アクセスする側に情報を与えてしまうことになります。かといって「田中のWi-Fi」のように誰のアクセスポイントかわかるようなSSIDにしてしまうと、今度は個人攻撃を仕掛けたい人に特定されてしまいます。

また、まかり間違ってパスワードに誕生日などを設定していると、SSIDからそのパスワードを類推されかねません。セキュリティを強化するためには、誰の、どんな機材のアクセスポイントかわからないようなSSIDを設定することを心がけてください。

Wi-Fiルーターに接続するためのパスワードも、変更しておくことでセキュリティを強化できます。初期状態ではWi-Fiルーターの底面や側面に記されているため、なんらかの拍子であなたの家を訪れた人がそれをスマートフォンの写真などに撮っておいて、不正アクセスに利用される可能性があります。

Wi-Fiルーターの設定でこのパスワードを変更できますので、他人に類推されづらい、セキュリティの高いパスワードを用いるようにしてください。

Wi-Fiルーターの暗号化方式もセキュリティを強化するには大事なチェックポイントです。暗号化を「なし」にするのは問題外ですが、機種によっては古くてセキュリティ強度が低いWEP方式が選ばれている場合もあります。次の章で詳しく説明しますが、暗号化方式は「WPA2 PSK(AES)」を利用してください。

以上4つのポイントでセキュリティを強化すれば、不正アクセスを受ける可能性はほとんどなくなります。

前節「設定している暗号化方式」で「暗号化を「なし」にするのは問題外」とし、「暗号化方式は「WPA2 PSK(AES)」を利用してください」と記しましたが、実は暗号化の方法は複数存在し、それぞれにセキュリティ強度が異なります。

無線LANで使われる暗号化方式には、
 

• WEP
• WPA/WPA2
• WPA/WPA2 PSK （AES）

無線LANの通信の暗号化方式のひとつであるWEPは、最初期に開発されたため暗号鍵の長さが40ビットと128ビットと短めで、その上様々な脆弱性が発見・報告されていてセキュリティが低すぎるため、現在では使用すべきではないとされています。ただし、ニンテンドー3DSや公衆無線LANでは依然としてWEPを採用しているものも少なくありません。

家庭内のWi-FiではWEPの使用は避け、公衆無線LANではVPNを使うことでセキュリティを強化することをおすすめします。

WPAも無線LANの通信の暗号化方式のひとつで、WEPの代わりになるものとして策定されました。暗号鍵を128ビットとした上で、TKIPという通信中に一定のデータ通信量ごとに暗号鍵を変更する技術を導入してデータを盗聴されにくくしています。WPA2もほぼ同じ仕様ですが、最長256ビットの暗号鍵を用いたAESによる暗号化が追加されました。

単純にWPA2と呼んだ場合、WPAとほぼ同じ仕様のものを指す場合もあれば、AESを使ったものを指す場合もあり、混乱しがちです。この項ではAESを含まない、WPAとほぼ同じ仕様のWPA2を想定しています。また、家庭用の簡易認証方式としてPSK（Pre-Shared Key）も使われるようになりました。

WPAまでは暗号鍵を長くしてTKIPを採用したものの、暗号技術自体はWEPと同じだったため、暗号化方式としてのセキュリティ強度は必ずしも万全とは言えませんでした。しかしWPA2ではより強力な暗号技術としてAES（Advanced Encryption Standard）を採用することで、安心できる強度のセキュリティが確保できました。

2019年6月現在、暗号化方式としてはWPA2 PSK（AES）の利用がWi-Fiのセキュリティ対策として最上ではあります。しかし、2017年7月に「KRACKs」という脆弱性が報告されたため、2018年末にWPA3が発表され、法人向けから次第にWPA3対応のWi-Fiルーターが発売されています。そのため、今後はWPA3が普及すると思われます。

前記の「Wi-Fiのセキュリティの確認をしよう！」と「Wi-Fiのセキュリティ強化！無線LANの暗号化をしよう」の章で記した対策を行えば、Wi-Fiのセキュリティはほぼ安心できるものとなります。しかし、その上でさらに以下の対策を施すことでWi-Fiのセキュリティは万全に近いものになります。

Wi-Fiルーターの管理画面用パスワードやWi-Fi接続用のPSKパスワードなど、Wi-Fiルーターにはいくつものパスワードを設定できます。しかし、パスワードの数が増えると、ついつい手を抜いてしまい、似たような、あるは場合によっては同じパスワードを設定してしまう例が見受けられます。

こうした手抜きのパスワードを用いると、一気にセキュリティ強度が低下します。複雑化したパスワードをきっちりと使い分けるようにしてください。パスワードを考えるのが難しく思えるようなら、パスワード管理ソフトやGoogle Chromeのパスワード生成機能を使って、セキュリティ対策を整えてください。

パスワードを定期的に変更するのも、セキュリティ対策上悪くない方法です。ただし、定期的に変更しているとだんだんパスワードをつけるタネも尽きてきて、使い回しや似たようなパスワードを使ってしまい、セキュリティ強度が低下することがあります。これではパスワードを変更するのがかえって逆効果となります。

パスワードを定期的に変更することは、パスワードの流出への対策ともなりますので、前説同様、パスワード管理ソフトなどを使ってセキュリティ強度の高いパスワードを、定期的に入れ替えてください。

Wi-Fiルーターの管理画面で、無線LANに接続できる端末を制限するのは、セキュリティ的に非常に有効な対策です。自宅で使うWi-Fi端末が決まっているのであれば、Wi-Fiルーターでそれらを指定してしまえば、それ以外の端末からの不正アクセスを防げるからです。

ただし、訪ねてきた友人や親戚にWi-Fiを利用してもらう場合など、その都度Wi-Fiルーターの管理画面で対応しなければならず、いささか面倒なことになります。どうしてもセキュリティの高さと手間は反比例してしまいますので、それらの頻度などを考えた上でこうした対策を講じてください。

Wi-Fiルーターによっては、SSIDを隠すステルス機能（ANY接続拒否機能）が備わっている場合があります。これは、Wi-Fi端末で近くのWi-Fiアクセスポイントをさがしたときに、SSIDが表示されないようにする機能です。この状態のアクセスポイントには、正しいSSIDの名称を知らなければ接続できません。

最初に接続する際に、スマートフォンなどの端末上で正しいSSIDを入力しなければならないという手間がかかりますが、SSIDを知らないままに不正アクセスを試みようとしている周囲からのアクセスに対して、強力な対策となります。

以上、Wi-Fiルーターのセキュリティ上の問題点から、その対策方法までをお伝えしました。この記事を読んで自宅の無線LANが無防備に近い状態であったことに驚き、恐怖を感じた方もすくなくないことでしょう。ぜひとも今すぐに記事内の対策方法を施してWi-Fiのセキュリティを強化してください。