SECURITY Q&A

セキュリティ質問箱 | ビジネス現場の疑問について回答します

無線LANルーターのSSIDはステルスにした方が良いのでしょうか?

この記事をシェア

SSIDが分からないように隠せる「ステルス」機能は使った方が良いのでしょうか。
ステルスにしないと何が危険なのでしょうか。
暗号化など、勝手に他人にネットワークに入られないためには、どのような対策が必要なのでしょうか。

 

A

SSIDをステルスにしても根本的なセキュリティ強度は上がりません。

SSIDは無線のネットワークを識別するための名前であり、電波に乗せて周囲に知らされているものです。実際にPCやスマートフォン、タブレットなどから無線LANの設定を開けば、周囲に存在している無線LANのSSIDが表示されるのを見ることができます。アクセスポイントから発信される電波に乗ってSSIDが通知されるからです。これを「SSIDブロードキャスト」といいます。ブロードキャストされたSSIDをPCやスマートフォンなどの端末に内蔵されている無線クライアントモジュールが受け取って表示してくれているのです。

「SSIDステルス機能」とは、アクセスポイントが発信する電波にSSIDを含めないようにする機能のことで、これを有効にするとクライアント側では一覧に表示されなくなる、というわけです。ステルスSSIDには他にも定義がありますが、ここでは今説明した動作のことを表すことにします。
 

完全ステルスは不可能

SSIDブロードキャストをしない設定、つまり、ステルス機能は、完全に秘匿できるようには設計されていません。無線LANのアクセスポイントはクライアント側から「私の周囲に○○さんいますか?」という要求(プローブ要求)を受け取ったら、「はい、います。私は○○です」という応答(プローブ応答)を返すようにできています。このクライアント側から電波を発信してスキャンをすることを「動的スキャン」(アクティブスキャン)と言い、一方で、冒頭に説明をしたアクセスポイントがSSIDをクライアント側に知らせる動作を「静的スキャン」(パッシブスキャン)と言います。前者の動的スキャンを行うと、ステルスになっているSSIDの存在も簡単に見つけ出すことができます。

高度な技術が必要?

周囲のアクセスポイントを検索してSSIDを収集するのに高い技術は必要としません。したがってSSIDをステルス状態にしたとしても、実際には隠せていないため、あまりセキュリティ効果が高いとは言えません。

しかしSSIDが丸見えでは、なりすましSSIDを作られる危険性が拭い切れませんので、公的なアクセスポイントはステルスにすることにより一定の効果は生まれます。ですが、そもそも暗号化していないアクセスポイント(接続時にパスフレーズを必要としないフリーWi-Fiなど)や、暗号方式にWEPを使用しているアクセスポイントは注意が必要です。WEPはパスワードを設定していても、1分足らずで解析されてしまいますので使用しないことを推奨します。ステルスにするだけでなく、根本的な対策を取ることでなりすましSSIDに対する効果を向上させることができます。

どうすれば安全なSSIDを作ることができるか

では、どうすれば安全に無線LANのアクセスポイントを設定・運用することができるでしょうか。それには強度の高い暗号方式を採用し、かつ、パスフレーズの長さを一定以上の長さにすることが有効です。前述のWEPのパスフレーズが1分足らずで解析されてしまうということは、強度が高くない暗号方式ということです。使用は極力避けましょう。

暗号方式については現在ではWPA2(個人ユースであればWPA2パーソナル(WPA2-PSK)、エンタープライズではWPA2エンタープライズ(WPA2-EAP))が最も強度が高い方式です。WPA2パーソナルで使用するパスフレーズは最低でも13文字、少しでも安心を得たい場合はもっと長くすることでセキュリティの強度を上げることが可能です。

WPA2エンタープライズでは、IDとパスワードによる認証方式に加えて、より強固な認証として、証明書による認証も有効です。設定に関してはIDとパスワードを使用するものよりも複雑にはなりますが、セキュリティの強度は格段に向上します。また、証明書を使用することで、相手が正しい相手かどうかをアクセスポイントおよびクライアント側双方で確認することが可能になりますので、接続した後も比較的安心です。

公共の無線LANに接続する場合

出張先のホテルやカフェ、駅などで、ノートパソコンやスマートフォンなどで無線LANに接続する場合、一覧にはたくさんのSSIDが表示されます。そのSSIDはどこかの誰かが設置した無線LANのアクセスポイント、またはモバイルルータなどに設定されたSSIDですが、パスフレーズなしで接続できるアクセスポイントも存在します。

このようなパスフレーズがなくても接続できる無線LANには接続しないようにした方が無難です。暗号化されていない状態のため、パケットが誰かに盗聴され大切な情報が全て筒抜けとなる可能性があります。盗聴されているかどうか、一般の利用者では判断がつかないため、細心の注意を払う必要があります。

今接続しているインターネット環境は本当に安全?

その他の注意すべき点としては、通常無線LANに接続すると、インターネットへのアクセスに必要な情報として、DHCPサーバーからIPアドレスやデフォルトゲートウェイ、DNSサーバーの情報が提供され、自動的に自分の端末に設定されますが、この自動的に設定された情報がもしうその情報だったらどうでしょうか。前述のアクセスポイントによる盗聴だけでなく、悪意ある人が設置した無線LANアクセスポイントの設定次第では、いつもアクセスしているから安心できるウェブサイトへアクセスしても、実は本物そっくりな偽物サイトへ誘導されていたということが起こり得ます。これはインターネットの仕組みの一つであるDNSサーバーによる名前解決の仕組みを悪用したもので、アクセスポイントが提供する悪いDNSサーバーが、例えば「www.canon-its.co.jp」のIPアドレスを、本来のものとは異なるIPアドレスを回答することでこのような不正な誘導が可能になります。 利用者にとっては、この無線LANアクセスポイントによって自動的に設定される情報が正しい情報かどうか、DNSサーバーが提供する情報が本当に正しいかどうかを常に判断するのはとても難しいと言えます。

自衛策としては、本当に信頼できるアクセスポイント(会社や自宅のものなど)以外に接続する場合は、個人情報や機密情報など、大事な情報を通信経路に流さないようにすることです。

この記事をシェア

無線LANのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!