Part2　第一の巻---無線LANの存在を隠す

山田剛良

2007.07.02

Part2では，「第一の巻---無線LANの存在を隠す」と題して，Part1で紹介した7つのセキュリティ対策のうち，「基本設定を変更」，「SSIDを見せない」，「電波の強度を下げる」という3つの対策を見ていこう。

　電波は目に見えない。だが，無線LANのアクセス・ポイントを見つけるのはとても簡単だ。

アクセス・ポイントが情報を発信

　Windows XPが内蔵する無線LAN機能では，アクセス・ポイントからの電波を検知すると，その名前を自動的にリストアップする（図1）。厳密に言うと，この名前はアクセス・ポイントが所属しているネットワークを識別するためのIDで，SSIDとかESS-IDと呼ばれる。

図1●Windows XPは発見したアクセス・ポイントを自動的に表示する

アクセス・ポイントを識別するSSIDだけでなく，暗号化が使われているかどうかも表示される。

　Windows XPではさらに，表示されたSSIDを選ぶと，そのアクセス・ポイントが暗号化して通信しているかどうかまで知らせてくれる。お節介な話である。これではクラッカでなくても，第三者が罪の意識なしに他人が設置した無線LANを使えてしまう。これはいかにもマズい。

　こうした事態になるのは，アクセス・ポイントがいろいろな情報を発信しているからだ。無線LANセキュリティ術の第一歩は，自分からは余計な情報を出さないようにアクセス・ポイントを設定することである。関係ない第三者が無線LANを簡単に見つけられないようにすれば，それだけ安全性は高まる。

対策術1　初級
基本設定を変更

　「隠す」対策術のいちばん最初は，アクセス・ポイントの基本設定を初期状態から変えて，余計な情報を見せないようにすることだ。

　最近のアクセス・ポイントはたいてい，Webブラウザで設定できるようになっている。Webブラウザからアクセス・ポイントのIPアドレスに接続すると，ログインIDとパスワードの入力が求められ，正しい情報を入力すると設定画面が開く（図2）。

図2●アクセス・ポイントのデフォルト設定はセキュリティ上の問題点がある

設定画面の例。デフォルトの設定ではSSIDが決まっており，SSIDのブロードキャストは有効で，暗号化は設定されていない。

[画像のクリックで拡大表示]

　ここで最初に変更すべきなのは，このログインIDとパスワードである。図2で挙げた例の製品なら「セキュリティ」のタブをクリックすると，ログイン・パスワードを変更するための画面が現れる。

　なぜ変更すべきかというと，勝手にアクセス・ポイントの設定を変えられる危険性があるから。初期設定のままだと，無線LANの通信を傍受するだけでアクセス・ポイントのメーカーくらいはすぐわかってしまう。さらに，メーカーごとに工場出荷時のログインIDやパスワードはだいたい決まっている。つまり，これらを初期設定のままで放置するのは，クラッカに「何かイタズラをして下さい」と言っているようなものなのである。

SSIDからメーカーがわかる

　次に変更すべきなのはSSIDだ。図2の画面では「linksys-g」となっている。これでは簡単にリンクシスの製品だとわかってしまう。

　ここまで単純でなくても，初期設定のSSIDはメーカーごとに付け方が決まっている。ちょっと知識があればアクセス・ポイントのメーカーが特定できる。こうした情報を不用意に公開するのは避けるべきだ。

　ログインIDやパスワードを変更しておけば，SSIDからメーカーが知られたからといってすぐに危険が及ぶわけではない。しかし，クラッカから見ると，工場出荷時設定のSSIDのままで使っているアクセス・ポイントは，ほかの設定も工場出荷時のままで使っていると推測されやすい。少なくとも不正アクセスを試みる対象になりやすくなる。

　ただし，だからといって所有者の氏名や会社名，部署名などをSSIDに設定するのもちょっと考えものだ。こういったSSIDを付けると，そのアクセス・ポイントがどこにあって，だれが使っているかといった情報を公開するのと同じだからだ。

　パスワードを設定するときのように，見ただけでは他人から推測されにくい文字列に変更しよう。