最近の無線LAN製品は,設定次第で十分にセキュリティの強度を高められる。ところが,「無線LANはセキュリティに不安がある」という話を聞いたことがあるユーザーでも,実際には工場出荷時の設定のまま無線LANを使っているケースもあるのではないだろうか。そこで今回は,そんな無線LANセキュリティの第一歩ともいえるアクセス・ポイントの設定変更方法について見ていこう。
電波は目に見えない。だが,無線LANのアクセス・ポイントを見つけるのはとても簡単だ。WindowsXPが内蔵する無線LAN機能では,アクセス・ポイントからの電波を検知すると,SSIDもしくはESS-IDと呼ぶ無線LANの識別名を自動的にリストアップする。WindowsXPではさらに,表示されたSSIDを選ぶと,そのアクセス・ポイントが暗号化して通信しているかどうかまで知らせてくれる。
これを防ぐことが無線LANセキュリティの第一歩となる。
こうした事態になるのは,アクセス・ポイントがいろいろな情報を発信しているから。つまり,自分からは余計な情報を出さないようにアクセス・ポイントを設定すれば,関係ない第三者が無線LANを簡単に見つけられないようになり,それだけ安全性は高まる。
IEEE802.11無線LANのしくみでは,基本的にクライアントの無線アダプタとアクセス・ポイントのSSIDが一致しないと通信できない。SSIDが一種の端末認証情報になっているわけだ。ただし例外がある。クライアント側のSSIDを「ANY」にセットすると,アクセス・ポイント側のSSIDに関係なく接続できてしまうのだ。工場出荷状態ではANYキーによるアクセスを受け入れるアクセス・ポイントが多い。
つまりアクセス・ポイント側から見ると問題は二つある。一つは,そもそもWindowsXPの無線LANクライアントにSSIDが勝手にリスト表示されてしまうこと。もう一つは,ANYキーでアクセスされるとSSIDを知らなくても接続されてしまうことだ。逆に言うと,これらを禁止できれば,SSIDを知らないユーザーが勝手に接続してくるのを防げる。実は,最近のアクセス・ポイントの多くには「SSIDを見せない」設定がある。
WindowsXPパソコンがSSIDをリストアップできるのは,アクセス・ポイントが定期的に出している「ビーコン」と呼ばれる信号にSSIDが埋め込まれているから。ビーコン自体は無線LANの通信に必要なので止められないが,そこからSSIDの情報を省けば,SSIDをリストに出せないようにできる。これを可能にするのが,SSIDを見せない設定である。
この機能を設定する項目名は,メーカーによってバラツキがある。NECの「ESS-IDステルス」,バッファロー(旧メルコ)の「ANY接続」,リンクシスの「SSIDブロードキャスト」などだ。項目名だけだと,ビーコンにSSIDを埋め込まない設定とANYキーでのアクセスを受け付けない設定のどちらかだけに見えるが,実際は二つの問題を同時に対処する仕様になっている製品が多い。
ただし「SSIDを隠す」機能の過信は禁物だ。実は,クライアントとアクセス・ポイントがやりとりする無線LANパケットのヘッダーにはSSIDが埋め込まれている。だからクラッカが通信を傍受し,パケットを解析するとSSIDはすぐにわかってしまう。
それでも,WindowsXPで自分のアクセス・ポイントが自動でリストアップされなくなると,それだけでセキュリティの強度はグンと上がる。さらに高いセキュリティを求めるなら,暗号化や認証の設定をすることになる。アクセス・ポイントにそうした設定をするのも,難しさの点ではSSIDを見せない設定と大差ない。まず無線LANを工場出荷時の設定のままで使わないことが重要だといえるだろう。
