Sony

サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

自宅利用が進む「無線LAN(Wi-Fi)」のセキュリティ――「タダ乗り」「乗っ取り」を防ぐ基本対策

情報処理推進機構(IPA)の最新の調査によると、対象者5000人のうち3119人(62.4%)が自宅で無線LAN(Wi-Fi)を利用しているということです(2017年度情報セキュリティに対する意識調査)。パソコンやスマートフォン、タブレット、ゲーム機、携帯プレーヤーなどのさまざまな端末から、ワイヤレスで自宅のインターネット回線を利用できる便利なWi-Fiですが、その一方で知らない間にネット犯罪に悪用されるという物騒な話もあります。今回は、そんなWi-Fiの「タダ乗り」や「乗っ取り」を防ぐ、基本的なセキュリティ対策をご紹介します。

第三者が回線を悪用する「タダ乗り」

無線LAN(Wi-Fi)を利用している家には、インターネットと家庭内のLANの境界に、Wi-Fiルーターなどと呼ばれる無線LANの親機を設置します。親機は、LAN内とインターネットの通信を仲介するルーター機能や、不要な通信や外部からの侵入を防ぐファイアウォール機能、LAN内の端末に適切なネットワーク設定を行うDHCP(Dynamic Host Configuration Protocol)サーバ機能、ひとつの契約回線で複数の端末が同時にインターネットを利用できるようにするNAT(Network Address Translation)機能など、さまざまな機能を備えており、パソコンやスンマートフォンなどの子機(端末)を接続すると、家中でインターネットが利用できるようになります。ただし、電波が届くのは家の中限定ではないので、第三者が接続し回線を悪用してしまう「タダ乗り」が起こることがあります。

●無罪判決が出た「タダ乗り」

2017年4月、他人のWi-Fiを勝手に使うタダ乗りで、銀行の偽サイトに誘導するフィッシングメールを送っていた犯人に対し、東京地裁は、タダ乗りそのものは罪に問えないと判断し、無罪判決が確定しました(不正送金などの他の容疑は有罪)。ケーブルで接続した相手としか通信できない有線LANと違い、Wi-Fiは電波の届く範囲なら誰とでも通信できます。適切な設定がなされていないと他人にタダ乗りされてしまい、悪用されかねません。

●感染の危険があるWi-Fiルーター

2017年11月から12月にかけ、警察庁や関係機関は、Wi-Fiルーターなどを乗っ取るマルウェア(ウイルス)「Mirai」の感染が国内で広がっていると注意を呼びかけました。欠陥を抱えた国内のWi-Fi親機が感染し、インターネット上で感染活動を行ったと見られています。Wi-Fiルーターのファイアウォール機能やNAT機能のおかげで、LAN内の端末が外部から直接攻撃されることはありません。国内の家庭の大半が、無線や有線のルーターを介してインターネットに接続しているため、家庭内の機器がMiraiに感染するケースはほとんどなかったのですが、矢面に立たされているWi-Fiルーターは別です。欠陥を修正するアップデートを怠っていた機器が多数あり、それらが外部からの攻撃を受けて感染してしまったようです。

「タダ乗り」を防ぐセキュリティ設定

パソコンやスマートフォンなどの端末がWi-Fiを利用する際には、端末に親機と同じ「SSID」「暗号化方式」「暗号化キー」を設定します。WPS(Wi-Fi Protected Setup)などの自動設定機能を利用すると、ボタンを押すだけでこれらが全て自動設定されるため、意識したことがないかもしれませんが、この機会に覚えておいてください。タダ乗り防止には、親機に適切な「暗号化方式」を設定し、機器間で共有する秘密の情報である「暗号化キー」に破られにくい強固なものを設定するのが重要なポイントです。

●「SSID」は任意に設定

SSIDは、親機に設定したネットワークの名前です。ケーブル接続と違い、電波の届く範囲に複数の親機や子機がある無線では、このSSIDを用いて通信相手を特定します。親機の初期設定をそのまま使用している方が多いようですが、好きな名前に変更できます。ただし、設定した名前は近隣から見えてしまうので、差しさわりのない無難な名前にしておきましょう。
初めて手動で接続する際には、ネットワークの一覧から接続先の名前を選択します。接続先を選ぶと次の「暗号化方式」に利用可能な最適なものが自動選択されますが、圏外の親機の接続設定を行う場合には、これらは全て自分で入力、選択します。

●「暗号化方式」は「WPA2」以外を無効に

暗号化方式には、暗号強度が最も低い「WEP」と上位の「WPA」、最上位の「WPA2」の3種類が現在使われています。可能な限り上位の強固なものだけを使うように設定します。最近の機器であれば、最も安全な「WPA2」に対応しているので、未対応の機器がなければこれを選択し、下位の方式は利用できないように無効にしておきます。

出荷時の設定や簡単設定などの自動設定機能を用いた親機は、下位の方式が無効化されない製品があるので注意してください。古いゲーム機が接続できるように「WEP」が有効になっている親機がありますが、先の事例では、まさにこの「WEP」が破られ、タダ乗りされたそうです。「WEP」は、ツールを使うと瞬時に破られてしまうので、必ず利用できないように無効化しておきます。


図1 下位の暗号化方式は可能な限り無効にする

●「暗号化キー」は強固なものを設定

暗号化キーは、パスワードに相当するものです。Wi-Fiの通信は、この暗号化キーとランダムに生成するキーを組み合わせて生成する秘密の鍵を使って通信内容を暗号化します。アカウントのパスワードと同様、暗号化キーには強固なものを設定します。パスワードを破るツールと同様、Wi-Fiの暗号化キーを破るツールが出回っていますので、くれぐれもご注意ください。類推されそうなものや辞書に載っているような単語は避け、英数記号を織り交ぜた長い文字列を設定します。文字数が最大63文字まで使用できるので、無暗に複雑にしなくても、長いフレーズを設定すると効果的です。ちなみに、英数記号を織り交ぜた複雑なパスワードよりも、2倍の長さの数字だけのパスワードの方が強度は上です。

ファームウェアのアップデートを忘れずに

マルウェアに感染したWi-Fi親機は、ネットワークに接続した機器どうしが直接通信し、必要な設定などを自動的に行うUPnP(Universal Plug and Play)という機能に問題があったといいます。UPnPに脆弱性があり、なおかつインターネット側からアクセスできたため、攻撃されて感染してしまったのです。

機器に組み込まれたソフトウェアのことを、ファームウェアといいます。パソコンのOSやアプリと同じように、ファームウェアもまた、問題が見つかるとアップデートが行われます。アップデートを行っていれば、マルウェアに感染することはなかったのですが、忘れられていたようです。
ファームウェアのアップデート方法は機種によって異なり、次のようなものがあります。

○メーカーのサポートサイトから更新用のファイルをダウンロードして適用する。
○機器を操作し、直接ダウンロードして適用する。
○Windows Updateなどと同じように機器が定期的に更新チェックを行い、自動的にダウンロードと適用が行われる。

詳しくは、各製品のサポートページやマニュアルを参照してください。自動更新機能のない機器が多いので、サポートサイトを時々確認するようにしてください。


図2 ファームウェアのアップデート

不要な機能は「無効」にしておく

先のウイルス感染の原因となったUPnPは、「機能を無効化する」ことでも感染を防ぐことができました。UPnPは、デフォルトで有効になっている製品が多く、家庭内の対応機器やアプリなどが外部からの接続を受け入れられるように、親機の設定を変更してしまうことがあります。便利な機能ではありますが、管理画面から操作するのと違い、認証なしで設定を変更できてしまうため、注意が必要です。外部から見えないつもりでいたカメラが、外部から見えるように設定されていたり、マルウェアに感染した端末が侵入用の裏口を勝手に開けていたりといったことが起こることがあります。UPnPは、不都合が無ければ無効化しておくことをおすすめします。


図3 UPnPは不都合がなければ「無効」に

製品が、リモート管理機能やVPN機能などのインターネット側から利用できる機能を提供している場合には、可能な限りそれら機能を無効化しておきます。必要があれば、使う時だけ有効にします。ボタンを押すだけで端末が接続できるように自動設定するWPSは便利ですが、年中使う機能ではありません。使わないときには無効にしておきましょう。


図4 使わない機能(WPS、リモート管理機能)は「無効」に

親機の管理画面にも強固なパスワードを

設置した親機で必ずやっておきたいのが、管理画面のパスワード設定です。セットアップ時に設定を求める機種もありますが、出荷時のデフォルトのパスワードが設定された製品が大半です。デフォルトのパスワードは、マニュアル等にも記載された誰でも知り得る周知の情報なので、そのまま使い続けるのは危険です。

実際、外部から管理画面に侵入され、設定してあったプロバイダーに接続するためのID/パスワードを盗まれる事件が、過去に起きています。親機の管理画面にインターネット側からアクセスできてしまう欠陥と、管理画面のパスワード設定の問題が重なったために起きた不幸な事件ですが、管理画面にアクセスできないように強固なパスワードを設定していれば、防げたかもしれません。


図5 管理パスワードは必ず強固なものに変更する

(執筆:現代フォーラム/鈴木)