特集

サイバー犯罪は対岸の火事ではない。身を守るため、いま見直したいWi-Fiルーターの設定

  • 清水 理史

2020年2月28日 11:00

 2月1日から3月18日まで、「サイバーセキュリティ月間」が開催される。個人情報の流出や詐欺など、生活に影響を及ぼすサイバーセキュリティに関する問題が報じられるなか、他人事ではなく、自分のこととしてその対策をすることが推奨される活動だ。

 PCやスマートフォンの対策はしているという人も少なくないかもしれないが、本稿では、ここ数年でターゲットになることが増えてきたWi-Fiルーターのセキュリティ設定について解説する。Wi-Fiにまつわる技術も、サイバー犯罪の手口も常に進化している。我が家/我が社のルーターの設定は大丈夫と思っている人も、改めて問題がないかを確認してもらいたい。

あなたならどちらに侵入するか?

 簡単な実験をしてみよう。ここに2つの家がある。


    Aの家:敷地に塀があり、玄関のドアが施錠され、窓に格子もある
    Bの家:敷地に塀がなく、ドアも施錠されず、窓が割れている

 さて、不謹慎かもしれないが、仮にあなたがどちらかの家に侵入するとしたら、どちらの家を選ぶだろう?

 もちろん、大半の人が「Bの家」と答えるだろう。理由は簡単で、侵入するのが簡単だからだ。

 これと同じことは、今やほとんどの家庭やオフィスに設置されている「Wi-Fiルーター」にも言える。

 Wi-Fiルーターは、PCやスマートフォンをWi-Fiで接続し、世界中へとつながるインターネットへとデータの橋渡しをする通信機器。その大切な機器に、前述した「壁」や「ドア」、「窓」と同じようなセキュリティ上の欠点があり、それを悪意を持った第三者に狙われたらとしたら……。

 その被害はいろいろ考えられるが、たとえば、PCやスマートフォンにウイルスが仕込まれたり、日々やり取りする通信内容が盗み見られたり、Wi-Fiルーターの設定を書き換えられて詐欺を目的とした偽サイトに誘導されたりする可能性がある。

 「ウチのPCには盗まれて困るデータなんてない」。もしかすると、そう思う人もいるかもしれない。しかし、悪意のある攻撃者は、データを盗むことだけが目的ではない。

 ニュースなどで、大企業のインターネットサービスが、大量のアクセスを受けて停止したことを目にしたことがある人も多いだろう。こうした攻撃には、世界中の何万、何十万台もの端末が参加しているが、そのなかには「乗っ取られたWi-Fiルーター」も含まれている。

 つまり、知らず知らずのうちに、あなたも「攻撃する側」としてこうした被害に加担してしまっている可能性があるのだ。Wi-Fiルーターのセキュリティ被害の深刻な点は、こうした乗っ取りと一斉攻撃への悪用にあると言えるのだ。

 個人情報の流出や詐欺、大規模攻撃によるサービス停止など、セキュリティに関する話題を目にする機会が増えてきが、こうした被害の原因として、実際にセキュリティ設定の甘いWi-Fiルーターが係わっていることも珍しくない。攻撃者は、いまこの瞬間も、大量のターゲットのなかから、なるべく低い攻撃コスト(手間と時間)で乗っ取れる機器を探し続けている。

 ただ、この網から逃れる方法は、決して難しくない。専門的なセキュリティ対策ではなく、ほんの少し、攻撃コストを上げるだけでいい。パスワードの設定や暗号化の利用、ファームウェアのアップデートなど、当たり前の対策を、当たり前にしておくことが大切となる。

警察庁が発表したセキュリティレポート。かつて大きな被害をもたらした「Mirai」の亜種が増えており、通信機器などのIoT機器の脆弱性を狙ったアクセスが増加している現状がわかる

どう狙われる? どう対策する? Wi-Fiルーターのセキュリティ基本設定

 では、実際にWi-Fiルーターがどのように狙われ、それを防ぐためにどうすればいいのだろうか?

そもそも敷地への侵入を許さない塀「Wi-Fi暗号化」

 Wi-Fiルーターで、まず気をつけなければならないのは盗聴だ。

 Wi-Fiは電波を使って情報をやり取りするので、電波が届く場所にいれば、誰でも同じ電波を受信できる。いま、あなたが見ているこのサイトのデータも、電波に乗って、近所の家やオフィスにまで届いている。

 ただし、電波を受信できたとしても、それがすぐにセキュリティ被害につながることはない。なぜなら、暗号化によって守ることができるからだ。

 PCからWi-Fiに接続するとき、通常は、接続先の一覧からSSIDを選び、パスワードを入力するが、このパスワードには次の2つの意味がある。

1 .接続の認証

 Wi-Fiにパスワードが設定されていないと、電波の届く範囲にいる人であれば誰でも接続することができる。

 同じWi-Fiルーターに接続している端末は、通常、相互通信ができる。つまり、勝手に接続されているということは、家の中のほかのPCやTV、家電、そしてWi-Fiルーターそのものなどにもアクセスでき、最悪の場合は乗っ取られる可能性があるということになる。

Wi-Fiパスワードの仕組み

2. データの暗号化

 家の敷地を囲む塀は、外を通る人の目からプライバシーを守る役割もあるが、暗号化も同じようにデータのプライバシーを守ることができる。

 Wi-Fiにパスワードを設定すると、電波でやり取りするデータが暗号化される。これにより、万が一、第三者に電波を受信されたとしても、その中身を見ることはできなくなる。

 逆に言うと、暗号化されていないWi-Fiにつなぐことは、ブラウザやアプリを使ってやり取りした大切な個人情報が第三者に見られてしまう可能性が高いということになる。

Wi-Fiパスワードを設定すると、データは暗号化される

 このように、Wi-Fiの暗号化は、接続の認証とデータの暗号化の2つの意味で非常に大切だ。まずは、Wi-Fiに暗号化パスワードを設定することで「敷地に入らせず、なかを覗き見されないための塀を作る」ことがWi-Fiルーターのセキュリティ対策の第一歩となる。

 Wi-Fiの暗号化は、この2~3年で発売された比較的新しいWi-Fiルーターであれば、初期設定時に強制的に設定させられたり、工場出荷時の段階で複雑なものが設定されているが、古い製品では、工場出荷時に「暗号化なし」に設定されていたり、「00000000」などの誰でも推測できる簡単なものが設定されていたりする可能性がある。

 Wi-Fiのパスワードは、Wi-Fiルーターの設定画面で簡単に確認できるので、まずは現在の設定をチェックし、なるべく複雑で、長い文字列を設定しておこう。

わかりやすい暗号化パスワードでは、簡単に盗聴や乗っ取りの被害に遭ってしまう。複雑なものに変更しておこう

なるべく高い塀にする「暗号化方式」

 さて、侵入や盗聴を防ぐWi-Fiの暗号化は、敷地を守る塀のようなものだが、塀があるだけでは安心できない。塀としての役割をきちんと果たせるように、しっかりとした塀を作らなければ意味がない。

 Wi-Fiの暗号化には、利用する暗号化方式の違いによって次のような種類がある。

【表1】暗号化方式の違い
おすすめ度方式暗号技術安全性概要
×暗号化なしなしなし暗号化せずに情報がやり取りされる
×WEPRC4極めて低い解読方法が広く知られているため危険
WPARC4(TKIP)注意WEPを強化した方式。現在はあまり使われない
WPA2AES/RC4(TKIP)安全現在一般的な方式。AES方式は安全
WPA3CNSA安全2018年に策定された最新の技術

 ポイントは、WEPやWPAのような古い暗号化方式を避けること。WEPは、すでに解読方法が知られており、ノートPCに特殊なツールを導入すれば簡単に通信を解読することができてしまう。WPAもTKIPという方式を使って一定時間おきに暗号キーを切り替えるため、簡単に解読されることはないが、万全とは言えない。

 現在主流のWPA2は、AESを使った暗号化が用いられるため、解読は現実的には不可能。KRACKSのような脆弱性も話題になったが、その対策も進み、安全に利用できる。

 最新のWi-Fi 6対応モデルでは、より強固なWPA3に対応した製品も登場しはじめている。安全性を重視するならWPA3を利用すべきだが、まだ対応機種があまりないため、通常はWPA2を選んでおくといいだろう。

WPA2の利用を推奨。最新モデルではWPA3も選択できる

玄関ドアをしっかり施錠する「管理者パスワード」

 敷地への侵入対策ができたら、続いて玄関ドアの対策を考えよう。

 家の玄関ドアに対応するのは、Wi-Fiルーターの設定画面を開くための管理者パスワード。

設定ページにアクセスするための管理者パスワードは、言わば玄関ドアの鍵

 この設定が、たとえば「admin/admin」「admin/password」「admin/0000」など、簡単な組み合わせとなっていると、第三者がWi-Fiルーターの設定画面にアクセスし、勝手にWi-Fiルーターの設定を変更したり、前述したWi-Fiに接続するための暗号化パスワードを盗み見ることができてしまう。

 暗号化パスワードをしっかり設定してWi-Fiに接続できないようにしておけばいいのでは? と思うかもしれない。しかし、Wi-Fiルーターはインターネットに接続するための機器でもあるため、インターネット側から設定画面にアクセスできてしまう可能性もある。ほとんどの製品はインターネット側からの設定画面アクセスを禁止する機能が搭載されているが、オフになっている可能性もある。

 また、Wi-Fiや有線LANに接続されている家庭内のPCやスマートフォン、家電、IoT機器などがウイルスに感染した場合、ウイルスが次のターゲットとしてWi-Fiルーターを狙って二次攻撃を行なう場合がある。こうした攻撃に備えるには、なるべく複雑な管理者パスワードを設定しておくことが大切だ。

 最近の製品では、初期設定時に強制的に管理者パスワードを設定させたり、工場出荷時の時点でランダムで生成した複雑な管理者パスワードが設定されていたりするが、古い製品では、パスワードなしや「admin/admin」の製品も数多く存在するので、今すぐにでも確認することお勧めする。

簡単な管理者パスワードが設定されている場合は、いますぐ変更しておこう

割れた窓の補修する「ファームウェアアップデート」

 Wi-Fiルーターのセキュリティ対策の3番目は、ファームウェアアップデート。

 PCのWindows Update、スマートフォンの更新など、最近ではアップデートが身近な存在になってきたが、Wi-Fiルーターに搭載されているソフトウェアも同様に定期的なアップデートが必要だ。

 たとえば、家の窓が割れていたり、ドアのカギが壊れていたら、普通はすぐに修理するだろう。これと同じように、Wi-Fiルーターに搭載されているソフトウェアにも、脆弱性と呼ばれるセキュリティ上の脅威につながりかねない欠陥や不具合が発見されることがある。

 Wi-Fiを盗聴しようとか、Wi-Fiルーターを乗っ取ろう、と考えている悪意のある第三者が、こうした脆弱性を見逃すわけはない。むしろ、彼らにとって、脆弱性は、素早く簡単に攻撃をしかけられるチャンスなのだから、積極的に利用しようとする。

 このため、メーカーは脆弱性が発見されたタイミングなどで、更新版のファームウェアを提供する。メーカーのサポートページなどに掲載されているので、いま使っているファームウェアのバージョンとサポートページに掲載されている最新のバージョンを比べてみるといいだろう。

メーカーのサポートページにアクセスすると、所有している機器のファームウェアの情報を確認できる。最新バージョンや変更履歴を確認しておこう

 もしも、最新バージョンが適用されていない場合、広く知られた脆弱性を使って、簡単にWi-Fiルーターが乗っ取られてしまう可能性がある。かならず最新バージョンにアップデートしておこう。

 最近のWi-Fiルーターには、PCやスマートフォンと同様に、自動的に最新のファームウェアをチェックして、夜間などに自動的にアップデートする機能を搭載しているものもあるが、まだ機種は限られている。ほとんどのWi-Fiルーターは手動でのアップデート作業が必要なので、いますぐ設定ページやサポートページを確認しておきたい。

 脆弱性は次々に発見されることがあるので、一度のアップデートで安心せず、最低でも月に1度くらいは、定期的にチェックすることが重要だ。

ファームウェアは機器の設定ページからも更新できる。最新機種では、夜間に自動的にバージョンアップしてくれる機能も搭載される

さらに対策するなら

 このほか、Wi-Fiルーターを安全に使うためのセキュリティ機能はいろいろある。必要に応じて、次のような機能も併用しましょう。

  • ステルスSSID
    端末の一覧にSSIDを表示しない機能。プライバシー保護程度で本格的なセキュリティ対策の意味は薄い。
  • MACアドレスフィルタリング
    端末ごとに固有に設定されているMACアドレスをWi-Fiルーターに登録して、特定の端末のみを接続可能にする機能。こちらも端末のMACアドレスを偽装することは難しくないのでセキュリティ的な効果は低い。
  • ファイアウォール/フィルタリング
    外部からの特定の通信を遮断する機能。Wi-Fiルーターに標準で搭載されており、お勧め設定がオンになっているので、そのまま運用しよう。オフにすると、外部からの不正アクセスに対応できなくなる。
  • UPnP/ポートフォワーディング
    サーバーを公開したり、ゲームの通信を許可したりするために、外部からの特定の通信を通過させる機能。便利な機能だが、外部からの攻撃に悪用される可能性もあるため、必要最低限の設定にしたり、使わない場合はオフにしておくことも検討したい。
Wi-Fiルーターには、いろいろなセキュリティ機能が搭載されている。基本的には標準設定で利用すればいいが、ポートフォワーディングやUPnPなどで特定のポートへのアクセスが許可されている場合は注意が必要

WPA3対応Wi-Fi 6ルーターに買い換えも検討を

 まとめると、Wi-Fiルーターの対策としては、少なくとも次の3つはかならずやっておきたい。

  • WPA2かWPA3を使ったWi-Fiの暗号化
  • 複雑な管理者パスワードの設定
  • 定期的なファームウェアアップデート

 とは言え、WPA2の発表が2004年なので、購入から長い期間が経過した古いWi-Fiルーターでは、最新の機能がサポートされないために対策ができないばかりか、メーカーのサポートが終了し、最新のファームウェアにしたくてもできない場合もある。

 そもそも、セキュリティのためとは言え、定期的にファームウェアをチェックしてアップデートするのも面倒だ。そのため、場合によってはWi-Fiルーターの買い換えも検討したい。

 2020年は、Wi-Fi 6という新しい規格の普及が見込まれており、国内外の各メーカーから最新製品が続々と登場している。Wi-Fi 6は、最大4,804Mbpsという高速な通信が特徴だが、複数台の機器を接続したさいの速度や安定性を向上させたり、スマートフォンがWi-Fiで消費する電力を節約したりできるようになっており、2~3年前程度の機種との比較したとしても、格段に快適に利用できるようになっている。

バッファローのWi-Fi 6対応ルーター「WXR-AX5950AX12」。速いだけでなく、WPA3やファームウェア自動アップデート機能を搭載し、安心して利用できる

 それでいて、前述したセキュリティの3つがしっかりと押さえられており、WPA3による最新の暗号化で端末を保護したり、初期設定でも暗号化や管理者パスワードを安全に使えるようになっていたり、夜間に自動的にファームウェアをチェックして更新できるようになっている。

 取り急ぎ、今使っているWi-Fiルーターのセキュリティ設定をチェックし、必要に応じて設定を変更することをおすすめしたいが、場合によっては、思い切って最新のWi-Fi 6ルーターに買い換えてしまうのも1つの選択だ。

 このほか、オンライン教育講座gaccoでは、全10回の講義動画で公衆無線LANのリスクやセキュリティ対策について解説している(3月23日まで)。受講登録は無料なので、あわせて参照いただきたい。 

製作協力:総務省 サイバーセキュリティ統括官室