1カ月集中講座

無線LANルーターの基礎から活用までを見直す 第2回

〜他人に迷惑をかけないためにも重要なルーターのセキュリティ機能

 特定のテーマを1カ月に渡って掘り下げ、理解を深める1カ月集中講座。今月は注目が高まっている無線LANルーターについて取り上げている。

 ルーターを使うにあたって注意しなければならないことは、セキュリティ設定を適切に行なうことだ。インターネットという外の世界と繋がっているということは、ただ自分が被害に遭うだけでなく。悪用されて他人に被害をもたらす危険性もある。

ルーターでできるセキュリティ設定

 ルーターのセキュリティ(安全性)を確保するにあたってユーザーができることは大きく分けて3つある。1つが管理画面や無線LANの暗号化キーの適切な設定。もう1つがMACアドレスフィルタやパケットフィルタ等の活用。そして残りの1つが、セキュリティレベルの低い無線LANの分離だ。

 ほかにも省電力設定で使っていない時間帯に無線LANをオフにしたり、利用者の少ない5GHz帯への移行するなど裏ワザ的な方法もあるが、先に紹介した3つができている状態であることが大前提だ。

 ハッカーによる攻撃方法は多様化しており、新たな手法も次々生まれているので、搭載メモリや処理能力を考えるとPCの側での対処に重点を置くべきだが、古いタイプの攻撃がなくなるわけではないのでルーター側でもできることはやっておくべきだ。

 また、ファームウェアのアップデートも忘れずやっておきたい。長く使われることの多い製品なので、その間に重大な問題点が見つかる可能性がある。自動更新機能を搭載した製品なら、その点任せっきりにできるので管理は楽だ。ただし、任せっきりにした以上は自動アップデート時にうっかり電源を切るなど、自分からトラブルを招くことがないようにしたい。

管理画面のパスワードと無線LANの暗号化キー

 ルーターでできるセキュリティ設定はいくつかあるが、まずは何はともあれ管理画面のパスワードから始めてみよう。ルーターのセキュリティ設定の中でも最も重要なものだ。ほかのセキュリティ設定に力を入れても、管理画面のパスワード設定がしっかりしていないと、芋づる式に破られてしまう。

管理画面のパスワードは初期設定が簡単になっているものも多い。忘れて開けなくなってしまっては本末転倒だが、最悪のケースでも初期化すれば対処は可能だ
パスワードの設定画面例。初期設定時以外元のパスワードと新規パスワードの両方入力する必要があるのはどの製品も変わらない
「KeePass Password Safe」の公式サイト。PCだけでなく、MacやLinux、iOS、Androidに対応したアプリがある

 ルーターの管理画面は通常LANの外からだとパスワードの入力画面すら開かず、外からアクセスできない。ただし、LANの外から管理画面にアクセス可能な一部製品や、無線LAN搭載製品では、適切な設定をしていないと、外部からのアクセスを許す可能性がある。

 管理画面のパスワードや無線LANの暗号化キーとしてどんなものが望ましいかと言うと別段特別なことはなくて、ほかのパスワードと同様、利用できる範囲で可能な限り長い文字数で、記号類も適度に入ったものということになる。さらに、一般的な単語の組み合わせなど見抜かれやすいものは避けるべきだ。初期設定では分かりやすさ優先でか非常に簡単なものになっている場合があるので注意したい。

 パスワードの管理には「Keepass Password Safe」のような、パスワードの保存管理と自動生成ができるアプリやサービスを使うのがオススメだ。誤入力が起きやすい複雑なパスワードの入力を、コピー&ペーストで済ませられるし、時間がかかりがちなパスワード作成作業から開放される。

フィルタ系のセキュリティ機能

 管理画面のパスワードや無線LANの暗号化キーの適切な設定はどんな初心者でも必ずやっておいて欲しい基本中の基本だが、ルーターのセキュリティ機能の本丸と言えば、無用な通信を遮断するフィルタ系の機能だ。

 PCであれば、セキュリティソフトを導入していれば、自動更新で手間要らずなものが使えるが、ルーターで一括して処理すれば個々の機器で処理する無駄を省ける。ただし、設定を誤ると正常な通信も遮断してしまうことがあるので、初心者や管理をする余力のない人は触らない方がよい。定番の設定については初期状態で設定済みの製品もある。

パケットフィルタ例。あらかじめ定番のものは初期設定されている製品もある
MACアドレスはネットワークの詳細設定やipconfigコマンドで確認できる「物理アドレス」のこと。2桁6つの16進数の組み合わせで記述されている

 フィルタ系のセキュリティ機能はおおまかに分けると「MACアドレスフィルタ」と「パケットフィルタ」、そして「Webサイトのアクセスブロック」の3種類ある。MACアドレスは製造段階でネットワーク機器に付与されるユニークな(重複することのないように割り振られた)IDのことで、MACアドレスフィルタはそのIDをチェックして通信を遮断するかどうか判断する。MACアドレスは変更可能なものなので必ずしも効果があるとは言えないが、最近はMACアドレスを変更する機能を搭載していない機器も増えているので一定の効果はあると言える。

 パケットフィルタは通信先(IPアドレス)や通信の種類(ポート番号)をチェックして通信を遮断するかどうか判断する。ポート番号は流動的に使われることもあるので、MACアドレスフィルタ同様こちらも必ずしも効果があるとは言えないが、定番とも言うべきポートを狙った攻撃がなくなるわけではないので、一定の効果はあると考えていいだろう。

 Webサイトのアクセスブロックは、特定のアドレスのWebサイトとのアクセスを遮断するものだ。「怪しいリンクを踏まない」という心がけも重要だが、一般のサイトでも問題サイトへのリンクが含まれていることがあるので、設定しておくに越したことはない。もっとも、数の多い問題サイトを全てルーターに登録するのは難しい。ルーター製品の中には、非常に多岐に渡るサイトを網羅したペアレンタルコントロール系のサービス(有料)と連携する機能を組み込んだものがある。ルーター側で処理するのであれば、こちらを利用するのが現実的だ。

LAN内へのアクセスを遮断

 友人がPC持参で自宅に訪ねて来た時など、LAN内のPCにアクセスして欲しくないが、インターネット接続は許可したい場合や、ゲーム機などLAN内にアクセスすることはないがインターネット接続が必用な場合には、セカンダリ(ゲスト)SSIDとネットワーク分離を使うのがオススメだ。

ゲスト向けのSSIDの設定画面例。一定時間後自動的にゲストSSIDがオフになるように設定できる製品もある
ゲスト向けのSSIDがあらかじめ初期設定済みの製品も少なくない。なお、この製品の場合ゲスト向けSSIDも含めWEPには対応していない

 無線LANアクセスポイントに接続する際、接続先のSSID(Service Set IDentifier、簡単に言うと名前)を決めて対応する暗号化キーを入力することになるが、そのSSIDを複数搭載している無線LANルーター製品がある。SSIDを複数搭載することで、メインのSSID以外からはLAN内へのアクセスを遮断したり(ネットワーク分離とも呼ばれる)、低いレベルの暗号化方式にしか対応できない機器用のSSIDを設置してインターネットに参加させることができる。

 無線LANは通常、通信を覗き見されないように内容を暗号化する。現在では暗号化方式として、「WEP」、「WPA-PSK(TKIP)」「WPA2-PSK(AES)」の3種類がよく使われているが、現行製品のデフォルト設定で最も多いのは、最も安全だとされるWPA2-PSK(AES)だ。最近では対応していない機器を探す方が難しいくらいなので、友人を自宅に招いた時などのゲストアクセス利用でもWPA2-PSK(AES)を利用するのがベストだろう。

 少し問題になるのが、簡単に解読できることが判明しているWEPにしか対応していない一部の古い携帯ゲーム機だ。この場合はWEP対応のSSIDを設置してLAN内にはアクセスさせないように設定すれば良い。WEPのみに対応するゲーム機での利用を想定したSSIDを初期設定済みの製品も少なくない。ただし、最近では逆にWEPに対応しない無線LANルーター製品も登場しているので注意を要する。

奥の手の省電力設定、5GHz帯への乗り換え

 ルーターの機能には本来の用途とは違うが、セキュリティ向上に役立つものもある。その代表的なものが「省電力設定」だ。ルーター製品は電源スイッチがないものも多く、意識してコンセントを抜くなどしない限り365日24時間稼働し続けている。その無駄を省くのが省電力設定だ。

ルーター製品は電源スイッチを搭載していないことが多い。電源スイッチがあっても、手の届きにくい所に設置して触る機会がないというのが一般的ではないだろうか
省電力設定の画面例。無線LANの機能をオフにしたり、有線LANの速度を落としたりして節電を行なう

 無線LANのアクセスポイントは電源が入ってなければそもそも接続しようがないわけで、これ以上ない防御態勢と言える。反対に電源が入っている時間は、相手に攻撃する機会を与えているともいえる状況なので、省電力設定をうまく使うことは、電気代の節約とセキュリティの向上の一挙両得に繋がる。

 また、利用する周波数帯を2.4GHz帯から5GHz帯に乗り換えるのも1つの方法だ。乗り換えのために接続する機器も5GHz帯対応にする必要があるが、繋ぐ機器が少ないならばコストも低くて済むし、2.4GHz帯ほど混雑していないので速度低下がしにくいメリットもある。5GHz帯対応機器を使用している人が少ない状況に限られた手法だが、電源を落とした時に近い効果が得られるはずだ。

出先のセキュリティ

 外出先など無線LANの暗号化方式を含めセキュリティ設定を選べない環境では、自宅や会社に設置されているVPNを経由する方法がある。VPNでは通信内容を暗号化できるので、暗号化されないような環境でも覗き見を防げる。VPNを利用するにはVPNサーバーの設置が必要だが、VPNサーバーを搭載したルーター製品を使えば個人でも簡単に利用できる。

リモートデスクトップが使える状態になっているかどうかは、システムのプロパティの「リモート」タブで確認できる
リモートデスクトップのホスト機能はWindows 8.1であれば「Pro」バージョンに搭載されている。無印のWindows 8.1には搭載されていない

 ルーターに搭載した機能に限定しなければ、VPNと同様にリモート接続系の機能であるWindowsの「リモートデスクトップ」も通信内容を暗号化できるのでセキュリティ確保に効果がある。ただし、ホストになれるリモートデスクトップ機能を搭載しているのは、Windows 8.1であればPro以上だ。さらに、リモートデスクトップということで、手元にあるPCあるではなく離れた場所にあるPCを操作することになるので、レスポンスなど操作性に支障が出る場合がある。

 なお、出先からアクセスする場合は、ルーターはもちろんPCなどリモートアクセスに使用する機器のセキュリティ設定で、使用するポートを開いておく必要があるが、開いたポートは使わない時は閉じるようにしておかないとリスク要因になるので、その点忘れないようにしたい。

(井上 繁樹)