こんにちは、ちうぱんです。
すでに多くの家庭で普及している無線LANルーターですが、セキュリティ項目をデフォルト設定のまま使用している方も多いと思います。
とはいえ、「AESって何?TKIPって何?」とか「ゲーム機はWEPのみ対応だっけ?」という疑問もありますよね?
そこで本記事では、「知りたいこと」がスッキリ分かるように、無線LANセキュリティの違いと、オススメ設定をまとめてまいります。
1. SSIDと暗号化キー
無線LANのセキュリティには、1)ネットワークへのアクセス認証と、2)空中を飛んでいるデータの暗号化に大別できます。まずは前者のアクセス認証の説明です。
※出典:Buffalo「Wi-Fiの安全を守るセキュリティー」
SSIDと暗号化キーがセキュリティの基本
無線LANルーターには、スマホやゲーム機などを接続するときに必要な、IDとパスワードがあらかじめ設定されています。
このIDを「SSID」、パスワードを「暗号化キー」といいます。暗号化キーは、「Wifiパスワード」又は単に「キー(KEY)」などと呼ばれることもあり、製造メーカーにより名称が異なります。無線LANルーターにシール貼付されていることが多いので、目にしたことのある方も多いでしょう。
※出典:OCN設定サポート
「SSID」と「暗号化キー」によってネットワークへのアクセスを制限するのが、無線LANセキュリティの基本となります。
ただし、空飛ぶ電波は傍受も可能なので、ネットワークへのアクセスを制限するだけでは不完全です。このため、親機と子機の間で送受信するデータは「暗号化」されます。これについては、後で説明します。
公衆無線LANは「ニセAP」に注意
ちなみに、「暗号化キー」を設定していない無線LAN環境を「オープンネットワーク」と呼び、空港や駅などの公衆無線LANで使われているのがコレです。
海外旅行や緊急時などに便利な公衆無線LANですが、以下の理由から極力使わないのが賢明です。
- 同一無線LANに接続された機器の通信内容(パスワードやクッキーなど)は、フリーソフトにより素人でも傍受可能
- 悪意の人間による「ニセ」のアクセスポイントである可能性もある(自前で用意したアクセスポイントに公衆無線LANと紛らわしいSSIDを設定 etc.)
どうしても公衆無線LANを使う必要がある場合には、せめてパスワードやクレジットカード番号の入力だけでも避けるようにしてください。
最新の無線LANルーターは安全性+α
セキュリティの話題からは少し脱線しますが、無線LANルーターの性能は、年を追うごとに高機能化しています。
とりわけ、業界最大手バッファローの「WSR-2533DHP」は、家族全員で使用しても安心の「4ストリーム」。さらに、最大接続台数は18台なので、スマートスピーカーやロボット掃除機など、Wifi接続機器の多い家庭でも余裕です。
2. データの暗号化
さて、ここからが「無線LANセキュリティ」に関する実践的な知識となります。
無線LANセキュリティの説明でよく使われるのが、「AES>TKIP>WEP」という安全性の順序です。
このような説明でも最低限の理解としては間に合うのかもしれませんが、例えば「WPA2-PSKとの違いは何?」と聞かれたときに混乱してしまいます。
セキュリティ規格(世代)
無線LANの「セキュリティ規格」には、現時点で3つの世代があります。
- WEP(第1世代)
- WPA(第2世代)
- WPA2(第3世代)
よく「危険なので使わないほうがいい」と言われる「WEP」は、最も古いセキュリティ規格の名称であり、「AES」や「TKIP」などの暗号化方式とは別モノです。
第2世代の「WPA」は、WEPの脆弱性(ぜいじゃくせい)を補うために、突貫作業で作られたセキュリティ規格です。その後すぐにリリースされた「WPA2」が現時点で最も強固な規格であり主流となっています。
暗号化方式
セキュリティ規格ごとの暗号化方式の違いは、下の表のとおりです。
規格 | 暗号鍵 | 暗号化方式 |
WEP | 固定 | RC4(ストリーム暗号) |
WPA | 変動(TKIPと呼ばれるソフト処理) | RC4(ストリーム暗号) |
WPA2 | 変動(ハード処理) | AES(ブロック暗号) |
専門用語も多いので、セキュリティ規格ごとに若干の解説を加えます。
《WEP》データの暗号化と復元に使う「暗号鍵」が固定です。また、暗号化方式は「RC4」というストリーム暗号で、データを前から順に1バイトずつ暗号化するため解読が容易。
《WPA》暗号鍵の桁数がWEPよりも多く、暗号鍵そのものも一定期間ごとに変更。
《WPA2》暗号化方式に「AES」を採用。データをブロック分割し、並び替え処理を行った上で暗号化する。現時点で第三者による解読は不可能。また、暗号鍵の変更をハードレベルで行うため、通信速度への影響がTKIPより低い。
無線LANセキュリティの強度について、「AES>TKIP>WEP」という説明が多用される理由がなんとなく分かりますね。
暗号鍵って何?
ちなみに、「暗号鍵って何?」と興味を持った人には、サイモン・シンの「暗号解読」がオススメ。紀元前から最新の量子暗号まで、暗号技術の発展と解読方法が、素人にも分かりやすく(そして面白く)書かれた名著です。
「PSK」とは ~パーソナルとエンタープライズ~
さらに細かい話です。
無線LANルーターのセキュリティ設定で、「WPA-PSK」や「WPA2-PSK」という選択肢を目にしたことのある方も多いでしょう。
このPSKとは「Pre-Shared Key」の略であり、無線LANルーターにアクセスするときの「パスワード」を意味します。日本語では「事前共有キー」「暗号化キー」「WEPキー」など、メーカーによって呼び方は不統一です。
そして、わざわざWPAとWPA2にだけ「-PSK」を付ける理由は、WPA/WPA2にはPSK(パスワード)を無線LANルーターの中で管理する「パーソナル」と、大企業向けの「認証サーバー方式(エンタープライズ)」があるためです。
したがって、個人で無線LANルーターを使う場合には、「WPA2」も「WPA2-PSK」も全く同じ意味だと思って構いません。
3. 現時点で最善の設定
無線LANのセキュリティ設定は、TPOで使い分けるものではありません。新しい規格ほど安全性は高いので、最新世代のセキュリティ規格を使用してください。
WPA2以外を選ぶ理由が無い
無線LANセキュリティについて情報を整理してきましたが、現時点で最善の設定は「WPA2-PSK-AES」の一択です。
製品によっては、単に「WPA2」や「WPA2-PSK」などと表記されることもありますが、すべて「WPA2-PSK-AES」と同じ意味です。
上図のように、いまだに「WEPは汎用性が高い」という説明も見かけますが、もはや遠い過去の話です。
WEPが2004年以降も使われ続けた理由
本来であれば、2004年にWPA2が策定された段階で、旧規格であるWEPは完全に排除されるべきでした。しかし、奇しくも同じ年、予想外の「事件」が発生します。
ニンテンドーDS(2004年)の発売です。
WPA非対応のニンテンドーDSが爆発的に普及してしまったため、家庭用の無線LANルーターからWEP設定を切り離すことができなくなりました。そこで緊急避難的に、無線LANルーターのSSIDを2つ設け、SSID2をWEP専用とするような回避策が講じられました(筆者宅で使用中の機種もこのタイプです)。
ちなみに、携帯ゲーム機の現行機種(ニンテンドー3DS、Switch、PS vita)はすべてWPA2対応なので、もはやWEPは完全に「過去の遺物」となりました。
最新規格「WPA3」の普及は?
なお、無線LANセキュリティの最新規格である「WPA3」が、2018年6月に発表されました。WPA3への対応はファームウェアの更新により可能であるため、法人向け製品から普及が始まっています。
4. WPA2の脆弱性は?
非常に安全性の高いセキュリティ規格であるWPA2ですが、2017年11月にベルギーの学生が脆弱性を発見したことで話題になりました。
幸いにも、脆弱性を発見したMathy Vanhoef氏らの対応が素晴らしかったため、すぐさまソフトウェアの修正により、脆弱性の穴は塞がれました。
とはいえ、この脆弱性を悪用するハードルは非常に高く、かえってWPA2の安全性が再確認されたようにも思われます。
最後に、ネットワーク周りのセキュリティについて、Canonが運営する「マルウェア情報局」(https://eset-info.canon-its.jp/malware_info/)はとても分かりやすい情報源です。こちらのリンクを紹介して、今回は筆を置きたいと思います。