2017年10月に発表された、Wi-Fi・WPA2の弱点『KRACK』に関する情報はこちら。
→ Wi-Fiのセキュリティに重大な弱点、対策は?
———
AppBank の主任です。
Wi-Fi の設定画面や Wi-Fi ルータのパッケージで「WEP」や「WPA」「AES」といった単語を見たことはありませんか?
これらは無線 LAN への接続を認証したり、Wi-Fi ルータと iPhone との間で行う通信を暗号化する技術です。
これを適切に設定しないと勝手に無線 LAN を利用されたり、通信内容を盗聴されて悪用される恐れがあります。
そこで今回は「WEP/WPA/WPA2 とは何か?」「暗号化の種類」「どれを設定すれば良いのか」「公衆無線LAN の注意点」をご紹介します。
目次
特徴1:無線LANへの接続を認証する
WEP/WPA/WPA2 には「無線 LAN への接続を認証する役割」があります。認証を行うのは無線 LAN 特有の事情があります。
実際に LAN ケーブルを繋いで接続する場合と異なり、無線 LAN はその電波が受信できる範囲内にいれば誰でも接続できるからです。
パスワードの入力を求めることで、その人がこの無線 LAN に接続する資格があるか否かを確認すれば、こうした事態は防げます。
特徴2:通信内容を暗号化する
WEP/WPA/WPA2 は「通信内容を暗号化する技術」とセットになっています。電波の届く範囲内であれば、通信を盗聴される恐れがあるからです。
盗聴されれば、ウェブサイトへのログイン・メールの送受信に使う ID とパスワードやクレジットカード情報などが盗まれる可能性が増します。
無線 LAN を利用する上で暗号化は必須と考えるべきでしょう。
暗号化の種類
こうした暗号化を行う方法は主に3種類あります。中でも最もオススメなのは「AES」です。その理由は後述します。
WEP
無線 LAN 用に最初に登場した、暗号化技術です。
無線 LAN のアクセスポイントと機器の間で「WEP キー」と呼ばれる鍵データを照合して通信します。この鍵が一致しなければ通信できません。
この「WEP キー」には鍵データの生成方法に問題があり、1分前後で解読できます。現時点での使用は控えましょう。
アクセスポイントの存在を隠す「SSID ステルス」や機器固有のアドレスで接続を制限する「MAC アドレス制限」を設定していても、これを回避する方法があります。
「SSID ステルス」「MAC アドレス制限」はあくまでも補助的なセキュリティ対策とお考えください。
TKIP
WEP の弱点を修正したのが「TKIP」です。WEP で問題があった、鍵データの生成方法を見直してより複雑にしました。
しかし、暗号化の方法そのものは WEP と同じなので、WEP に比べると時間はかかるものの、解読できます。
次にご紹介する「AES」対応であれば、そちらを使いましょう。
AES
WEP・TKIP で使われてきた暗号化の方法を見直し、TKIP と同じ鍵データの生成方法を採用したのが「AES」です。
WEP や TKIP とは異なり、AES によって暗号化されたデータの解読・鍵データを不正入手することは非常に困難です。
無線 LAN のアクセスポイント・Wi-Fi ルータがこれに対応している場合、暗号化方式は「AES」に設定しましょう。
オススメは「WPA2-AES」
という訳でオススメは WPA2 と AES を使う「WPA2-AES」です。「WPA2-PSK(AES)」「WPA2 パーソナル(AES)」と表記される事もあります。
iOS 6 の iPhone/iPad/iPod touch はいずれも WAP2-AES に対応しています。可能であればアクセスポイント・Wi-Fi ルータの設定を見直しましょう。
WPA2・AES未対応の場合
WPA2 に対応していない場合は「WPA-AES」を使う方法もあります。
TKIP のみ対応の機器も接続するには「WPA2-TKIP/AES」が唯一の選択肢ですが、AES のほかに TKIP でも接続できるのでセキュリティ上の懸念があります。
他の対策と組み合わせる
忘れてはいけないのが「パスワード」。設定しているパスワードが短い・推測しやすければ、簡単に接続できてしまいます。
長くする・大文字小文字を組み合わせる・数字や記号を含める・推測しにくいものにする、といった対応が必要です。
効果は限定的ですが、前述の「SSID ステルス」「MAC アドレス制限」も設定しましょう。
公衆無線LANには要注意
iPhone からは 公衆無線 LAN への接続に使う暗号化方式(AES・TKIP など)を指定できないので、その無線 LAN が WPA2-AES に対応しているかは分かりません。
公衆無線 LAN が WPA2-AES に対応しているか、接続する前にあらかじめ調査した方が良いでしょう。
例えば、au が提供する「Wi2premium」「Wi2」「wifi_square」は暗号化されていません。「UQ_Wi-Fi」は WEP で認証・暗号化します。
「au_Wi-Fi」「Wi2premium_club」「Wi2_club」は WPA2-AES を使用しています。
ソフトバンクが提供する「FON_FREE_INTERNET」「FON」「0001softbank」は暗号化されていません(一括設定プロファイルで確認)。
「0002softbank」は WPA2-AES を使っているようですが、ソフトバンクのウェブサイトには記載がありません。
参考(順不同)
- iOS:Wi-Fi ルーターおよび Wi-Fi アクセスポイントの推奨設定
- ネットワークセキュリティ|無線LAN暗号化について
- マイクロソフトの研究者らがAESの脆弱性を暴く | セキュリティ・マネジメント | トピックス | Computerworld – エンタープライズITの総合ニュースサイト
- 情報処理推進機構:情報セキュリティ:無線LANのセキュリティに関する注意
- 公衆無線LANサービス「au Wi-Fi SPOT」の提供開始について〈別紙〉 | 2011年 | KDDI株式会社
- 無線LANのセキュリティに係わる脆弱性の報告に関する解説 (概要)
- WPA の脆弱性の報告に関する分析 (技術編)