 |
|
|
お疲れ様です!情報システム部の 佐久間です。
今回の3分ITは、前回から引き続き、Wi-Fiの利用における注意すべきことを確認したいと思います。
|
| Ⅰ.自宅のWi-Fi環境で押さえておきたいセキュリティ対策のポイント |
| |
|
リモートワークの際に自宅の無線Wi-Fi 環境を使用している方は多いと思います。
しかし、Wi-Fiという目に見えないものを使用しているということは、自分の知り得ない第三者による不正アクセスのリスクも生じていることになります。
自宅Wi-Fi環境のリスク対策・安全に使うためのポイントについて考えてみましょう。
|
| |
1.リモートワーク時に自宅Wi-Fiを利用することによるリスク |
| |
|
PMKのリモートワークは、原則、自宅個室での在宅勤務がルールです。その際、利用するネットワークは自宅のネットワーク環境の利用を許可しています。
その在宅勤務での自宅ネットワーク環境は、近年のWi-Fiネットワーク機器の普及から、Wi-Fi環境にしている方も多いのではないでしょうか?
特に最近のWi-Fiルーターは、ネットワーク設定などをあまり意識しなくてもホーム・ネットワーク環境が構築できるようになっています。
Wi-Fiルーターへの接続は、WPS(Wi-Fi Protected Setup)やAOSS(AirStation One-Touch Secure System)といった簡単な接続設定で、ほぼ知識なしでも初期設定は完了してしまいます。ただ、その簡単に使える「Wi-Fi」という可視化できないアクセス手段を使用すると言うことは、裏を返せば、自身が見えないところで、知らない人がアクセスできるということでもあります。つまり、不特定多数の者による不正アクセスのリスクが生じているということになります。
Wi-Fiルーターを介すれば、同一ネットワーク内のユーザー間で、PCやスマホ、およびルーターの設定次第ではファイルの共有も可能になります。
同一ネットワーク内のユーザー間でデータ・ファイルの共有が可能な状態は、もし、他人が自宅のネットワークに接続できれば、データ・ファイルの共有が可能な状態になってしまうと言うことです。
ファイルの共有機能は、本来便利なものですが、悪意のある第三者によって悪用されてしまうと、データを盗み出される可能性があります。
貸与された業務用PCや業務端末を自宅のWi-Fiネットワークに接続することで、情報漏えいが起こる可能性があるというリスクをしっかりと認識していただきたいと思います。
|
| |
|
 |
Q;Wi-Fi の電波が届く距離はどのぐらい?
自宅のWi-Fi 環境に接続するときに、他に多くの知らないWi-Fi(SSID)が表示されると思いますが、あれはどれぐらい離れたところのWi-Fiルーター(アクセスポイント)の電波なのでしょう?
A;周辺の環境や機器の性能等の条件にもよりますが、Wi-Fi の電波が届く範囲は50~100mほどと言われています。
Wi-Fi の電波は「G」の2.4GHz *と「A」の 5GHz* の2種類があります。(*GHz;周波数帯)
2.4GHzは障害物をよける性質が強く、直進性が弱い性質をもっています。
一方、5GHzは直進性が強いが、障害物をよける性質は弱くなります。
2.4GHzは、電子レンジ等の多くの家電製品で利用されているので、他の機器との干渉を受けやすく速度低下を起こしやすいですが、比較的、遠くまで電波が届きやすい周波数帯です。
5GHz は、この周波数帯を利用している機器が少ないので、干渉を受けにくく、安定した通信が可能になりますが、あまり遠くには電波が届かず、壁などがあったり、離れたりすると、通信が極端に不安定になる傾向があります。
自宅で他に多くの知らないWi-Fi(SSID)が表示されるということは、傍から見たら自宅のWi-Fi(SSID)も表示されていると言うことになります。くれぐれも、SSIDに身元が判るような情報(氏名,住所等)を使わないよう、注意しましょう。
|
| 例.) 本社新宿御幸ビルを中心とした、半径50~100mの範囲 |
|
| |
2.自宅のWi-Fi環境のセキュリティ対策ポイント |
| |
|
先ず、自宅Wi-Fi環境におけるセキュリティ対策は、「接続させない」、「接続されても制御させない」、「暗号化してデータを読ませない」がポイントになります。
|
| |
1)SSIDのネーミング・設定を変更する |
| |
|
Wi-Fiルーターの圏内にあるネットワーク機器には、接続可能なアクセスポイントの「SSID」が通知されます。
その「SSID」に、例えば「(個人名)_home_wifi」のような、個人を類推できてしまう命名は避けましょう。
仮にWi-Fiルーターの所有者を知り得たユーザーが、所有者の個人情報から暗号化キーを推測するというようなこともできてしまうためです。
もちろん、暗号化キーも住所・電話番号や誕生日等の個人情報が絡む文字列にすべきではありません。
また、機種によっては製造元や機種の名称に関連する文字列がSSIDに含まれていることがあります。
その場合はすぐに、原形をとどめない名称へ変更しておきましょう。
仮にそのWi-Fiルーターの脆弱性が発覚した場合、その機種を狙った攻撃のターゲットとなりかねないからです。その製造元のWi-Fiルーターに脆弱性が見つかった場合、悪意のある第三者はツールを用いてその機器を探し出します。
また、SSIDステルス機能を利用してアクセス先の候補として常に表示させないようにする方法もあります。ただし、端末が検出されることは防げないため、この方法でセキュリティリスクが根本的に解消されるわけではないことに注意しましょう。
|
| |
2)ルーター管理用IDやパスワードを複雑にする |
| |
|
購入時、または工場出荷時の初期設定のままでWi-Fi ルーターを利用するのも避けましょう。
無線LANルーターの中には、初期設定ユーザーID・パスワードが機種ごとに一律で設定されているものが少なからず存在します。
そのうえ、機種によってはマニュアルがインターネットで公開されており、パスワードを誰でも知ることができるようになっている場合もあります。
そのため、悪意のある第三者が機種名を把握できれば、管理画面へ侵入して設定を書き換える可能性もあります。
少なくともログイン用のパスワードだけでも、複雑で推測できないものに変更しておきましょう。
|
| |
3)WPA3などの最新ネットワークセキュリティ規格を使用する |
| |
|
ルーターに設定するWi-Fiのセキュリティ方式について、「WPA2(AES)」か「WPA3」を推奨します。
WPA3はWPA2で大きな懸念とされたKRACK(Key Reinstallation AttaCKs)と呼ばれた脆弱性を、SAEハンドシェイク*の技術を採用したことで解消しています。
この技術により、ブルートフォース攻撃などのパスワード突破を狙う攻撃の被害を防いでいます。
WPA3はWi-Fi6から対応された新しいセキュリティ規格で、最近の機種では多くのものが採用しています。
SAEハンドシェイク*;攻撃者がパスワードを推測しようとして、辞書攻撃や総当たりなどの攻撃を一定回数以上試行すると、その攻撃を自動的にブロックする方式。
今後、新たなルーターを購入する場合は、「WEP」や「WPA」の規格のみ対応している機種はお勧めできません。
価格を重視するあまり、中古のWi-Fiルーターを調達してリモートワークに使用するといったことは避けましょう。
|
| |
|
 |
Q;「WPA」ってナニ?
A;「WPA」は “Wi-Fi Protected Access” の略で、Wi-Fi の通信内容を傍受されない様に暗号化するセキュリティ規格の1つです。
1990年代後半ごろは「WEP(Wired Equivalent Privacy)」」が広く使われていたが、その暗号化方式では、第三者に簡単に通信内容が解読されてしまうという問題の発覚しました。
それを受けて、2002年、Wi-Fiアライアンス*において、安全にWi-Fi通信を行う為のセキュリティ規格として仕様策定・認証がおこなわれたものです。
以後、WPA2(2004年)/ WPA3(2018年)に、より安全性の高いセキュリティ規格が策定・認証されています。
Wi-Fiアライアンス*;無線LANの普及促進を図ることを目的とした業界団体。世界の通信機器メーカーなど数百社が加盟している。本部は米テキサス州オースティン。
Q;「WPA」って、幾つか種類があるみたいだけど、どれを選べば良いの?
A;既に「WPA」「WPA2(TKIP*)」は安全性が低いとされています。より安全性が高い「WPA2(AES*)」か「WPA3」を推奨します。
TKIP*/AES*;”TKIP”は、一定の時間ごとに自動的にキーを更新し、暗号化通信の確認/認証を行う方式。1つの暗号キーを長期間共有して使う”WEPキー”に比べると安全な通信を行うことができるが、更に暗号化処理が早く、セキュリティ強度が高い”AES”が主流になっています。
Q;「WPA2-PSK」ってのは、また違うの?
A;”PSK(Pre-Shard Key)”とは、Wi-Fi 接続開始前に同じ符号を各デバイスに入力する”事前共通鍵”による認証・暗号化する方式です。符号を利用者が任意に決めて同じものを各デバイスに入力するか、あらかじめWi-Fiアクセスポイントに設定されたものを接続したいデバイスに入力する…つまり、ほとんどの場合、Wi-Fi 接続認証のやり方は”PSK”となってます。
整理すると、”WPA2-PSK(AES)”は、「暗号化をWPA2(規格)とAES(暗号化)で行い、PSK(認証は事前共有鍵を使う)方式」となります。
|
|
| |
4)ルーターのファームウェアを最新にする |
| |
|
Wi-Fiルーターは、その製造元が、機能改善やセキュリティ向上のためにファームウェアをアップデートすることがあります。
ほとんどの機種の場合、Wi-Fiルーターの設定画面にアクセスすると現在使用しているファームウェアのバージョンを確認できるので、もし最新版がリリースされていたらアップデートしておきましょう。
最近のルーターでは自動でファームウェアをアップデートする機能が搭載されている機種が多くを占めるため、自動アップデート機能を有効にしておくことで、アップデート漏れを防ぐことができます。
|
| 3.自宅の「Wi-Fi ネットワーク」の保護は必須 |
| |
昨今のスマホの普及もあって、インターネットへの接続は有線ではなく無線が基本というユーザーがほとんどではないでしょうか?
その結果、Wi-Fiルーターを用いたインターネット接続は、スマホと同様にキャリア通信回線へ直結するとみなしてしまいがちです。
Wi-Fi 接続も、一つのネットワークでルータを経由してインターネットに接続していることを強く認識しておきましょう。
同一のネットワークに接続するPCやスマホなどが、マルウェアに感染していれば、他のPCやスマホに感染が広がるリスクがあります。
|
| |
|
こうした事態を防ぐために、「ゲストポート機能」を利用することを1つのアイデアとしてご紹介します。
ゲストポート機能とは、ホームネットワークと分離し、ゲスト用にインターネット接続限定の回線を提供する機能です。
自宅のホームネットワークにはアクセスさせず、あくまでもインターネットの通信ルートだけを提供します。「ゲスト用Wi-Fi」「ネットワーク分離機能」と呼ばれてます。
例えば、あるメーカーのWi-Fi ルーターの場合、ゲストポート機能をONにすると、「Guest-XXXX」という名のゲスト専用のSSIDが表示されます。
このSSIDにアクセスすると、既存のホームネットワークへの接続は許可されず、隔離された状態でインターネットだけに接続できるようになります。
この機能を応用して、家族はホームネットワークを利用する、在宅勤務時の業務用PCはインターネット接続するだけなのでゲストポートを利用する..と使い分けることで、在宅勤務での情報セキュリティ・リスクを低減することが可能になります。
|
| |
また、自宅PCにも必ず総合セキュリティソフトをインストールしておくことも対策として講じておきましょう。
PCのみならず、スマホでネットショッピング、ネットバンキング等をよく利用する方も、スマホにもセキュリティソフトをインストールしておくこともお薦めします。
ウイルスチェック機能だけでなく、総合的な安全性を確保するためのツールとなっているセキュリティソフトも活用しながら、適切に自宅のネットワークを保護するようにしましょう。
|
| |
 |
警視庁 からも注意喚起!
昨年2023年3月に、警視庁から自宅でWi-Fi 環境利用について注意喚起が行われています。
🔗 Wi-Fi(無線LAN)ルーターをお使いの方へ
・適切な暗号化方式を設定する
・管理用パスワードは複雑なものに変更してからWi-Fi(無線LAN)ルーターを利用する
・ファームウェアを最新の状態に保つ
・サポートが終了した機器は買い替えを検討する
・機器の設定の定期的な確認
(情報発信元;警視庁 サイバー犯罪対策課 対策係)
🔗家庭用ルーターの不正利用に関する注意喚起
・サイバー攻撃事案の捜査の過程で、家庭用ルーター(以下「ルーター」といいます。)が、サイバー攻撃に悪用され、従来の対策のみでは対応できないことが判明しました。警察では、複数の関係メーカーと協力し、官民一体となって注意喚起いたします。
(情報発信元;警視庁 サイバー攻撃対策センター)
|
|
| |
| Ⅱ.理解度チェック |
| |
今回の記事に対する設問を1問準備してあります。下記リンクから、理解できているかチェックしてみましょう。
回答後、「送信」ボタン押下で「完了しました」画面になりますので「結果の表示」ボタンを押下して結果をご確認ください。 |
| |
|
👉👉👉理解度チェック👈👈👈
|
| |
| Ⅲ.次回告知 & バックナンバー |
| |
・次回の「3分IT」は 2024年 1月 24日公開予定です! |
| |
・バックナンバー一覧はこちら! |
| |
|
|
|
|
