PR

Part2では,「第一の巻---無線LANの存在を隠す」と題して,Part1で紹介した7つのセキュリティ対策のうち,「基本設定を変更」,「SSIDを見せない」,「電波の強度を下げる」という3つの対策を見ていこう。

 電波は目に見えない。だが,無線LANのアクセス・ポイントを見つけるのはとても簡単だ。

アクセス・ポイントが情報を発信

 Windows XPが内蔵する無線LAN機能では,アクセス・ポイントからの電波を検知すると,その名前を自動的にリストアップする(図1)。厳密に言うと,この名前はアクセス・ポイントが所属しているネットワークを識別するためのIDで,SSIDとかESS-IDと呼ばれる。

図1●Windows XPは発見したアクセス・ポイントを自動的に表示する
図1●Windows XPは発見したアクセス・ポイントを自動的に表示する
アクセス・ポイントを識別するSSIDだけでなく,暗号化が使われているかどうかも表示される。

 Windows XPではさらに,表示されたSSIDを選ぶと,そのアクセス・ポイントが暗号化して通信しているかどうかまで知らせてくれる。お節介な話である。これではクラッカでなくても,第三者が罪の意識なしに他人が設置した無線LANを使えてしまう。これはいかにもマズい。

 こうした事態になるのは,アクセス・ポイントがいろいろな情報を発信しているからだ。無線LANセキュリティ術の第一歩は,自分からは余計な情報を出さないようにアクセス・ポイントを設定することである。関係ない第三者が無線LANを簡単に見つけられないようにすれば,それだけ安全性は高まる。

対策術1 初級
基本設定を変更

 「隠す」対策術のいちばん最初は,アクセス・ポイントの基本設定を初期状態から変えて,余計な情報を見せないようにすることだ。

 最近のアクセス・ポイントはたいてい,Webブラウザで設定できるようになっている。Webブラウザからアクセス・ポイントのIPアドレスに接続すると,ログインIDとパスワードの入力が求められ,正しい情報を入力すると設定画面が開く(図2)。

図2●アクセス・ポイントのデフォルト設定はセキュリティ上の問題点がある<br>設定画面の例。デフォルトの設定ではSSIDが決まっており,SSIDのブロードキャストは有効で,暗号化は設定されていない。
図2●アクセス・ポイントのデフォルト設定はセキュリティ上の問題点がある
設定画面の例。デフォルトの設定ではSSIDが決まっており,SSIDのブロードキャストは有効で,暗号化は設定されていない。
[画像のクリックで拡大表示]

 ここで最初に変更すべきなのは,このログインIDとパスワードである。図2で挙げた例の製品なら「セキュリティ」のタブをクリックすると,ログイン・パスワードを変更するための画面が現れる。

 なぜ変更すべきかというと,勝手にアクセス・ポイントの設定を変えられる危険性があるから。初期設定のままだと,無線LANの通信を傍受するだけでアクセス・ポイントのメーカーくらいはすぐわかってしまう。さらに,メーカーごとに工場出荷時のログインIDやパスワードはだいたい決まっている。つまり,これらを初期設定のままで放置するのは,クラッカに「何かイタズラをして下さい」と言っているようなものなのである。

SSIDからメーカーがわかる

 次に変更すべきなのはSSIDだ。図2の画面では「linksys-g」となっている。これでは簡単にリンクシスの製品だとわかってしまう。

 ここまで単純でなくても,初期設定のSSIDはメーカーごとに付け方が決まっている。ちょっと知識があればアクセス・ポイントのメーカーが特定できる。こうした情報を不用意に公開するのは避けるべきだ。

 ログインIDやパスワードを変更しておけば,SSIDからメーカーが知られたからといってすぐに危険が及ぶわけではない。しかし,クラッカから見ると,工場出荷時設定のSSIDのままで使っているアクセス・ポイントは,ほかの設定も工場出荷時のままで使っていると推測されやすい。少なくとも不正アクセスを試みる対象になりやすくなる。

 ただし,だからといって所有者の氏名や会社名,部署名などをSSIDに設定するのもちょっと考えものだ。こういったSSIDを付けると,そのアクセス・ポイントがどこにあって,だれが使っているかといった情報を公開するのと同じだからだ。

 パスワードを設定するときのように,見ただけでは他人から推測されにくい文字列に変更しよう。

対策術2 中級
SSIDを見せない

 図1で見たようにWindows XPの無線LAN接続ツールなどは,アクセス・ポイントが発信する電波からSSIDを取り出してリスト表示してしまう。これを表示させなくするのが「隠す」対策術の2番目だ。

 IEEE(アイトリプルイー)802.11無線LANのしくみでは基本的に,クライアントの無線アダプタとアクセス・ポイントのSSIDが一致しないと通信できない。SSIDが一種の端末認証情報になっているわけだ。

SSIDがわからなければつなげない

 そのためかつては「SSIDを秘密にしておけば第三者からのアクセスは防げる」と説明されていたこともあった。しかし,接続ツールなどでSSIDがリスト表示されてしまうなら,だれにも知らせていなくても秘密は守れない。

 SSID関連では「ANYエニイキー接続」という問題もある。クライアント側のSSIDを「ANY」にセットすると,アクセス・ポイント側のSSIDに関係なく接続できてしまうというものだ。工場出荷状態ではANYキーによるアクセスを受け入れる製品が多い

 つまり問題は二つある。一つは,そもそも接続ツールにSSIDが勝手にリスト表示されてしまうこと。もう一つは,ANYキーでアクセスされるとSSIDを知らなくても接続できることだ。

 逆に言うと,もしこれらを禁止できれば,SSIDを知らないユーザーが,勝手に接続してくるのを防げるはずだ。実は,最近のアクセス・ポイントの多くには「SSIDを見せない」設定がある。