無線LANのセキュリティに気を配ろう

無線LANは，思うほど難しいものではなく，簡易に利用が開始できるのがメリット だ。しかし，悪意を持つ部外者が近隣に潜み，その電波を受信してしまったら……。 セキュリティ確保の方法を詳細に解説。

【国内記事】

2001年8月21日更新

　ブロードバンドの普及と歩調を合わせ，家庭内のPC接続の手段として，無線LANがブレイクしている。2001年度の国内の無線LAN出荷額は250億円規模になるとも言われている。全国で数10万台にのぼるPCが無線LANで接続されている勘定だ。

　ところで，物理的に接続している，していないというのが明確に管理できる有線と違って，無線LANでは空間を伝送媒体とし，最大数10メートル先まで電波が届いてしまう。それゆえ，セキュリティを確保することは重要な課題であることはお気付きだろう。電波を受信した部外者がネットワークにアクセスしてくる心配を，少しは考えたことのある人もいるかもしれない。

　ところが，実際の個人ベースでの無線LANの利用シーンでは，必要な項目の設定を怠ったまま使用している例がたまに見受けられる。面倒だったり，それを設定していなくても使えてしまうのが無線LANだからだ。設定をしているかどうか，いちど見直してみたほうがいいだろう。

無線LANに共通の設定項目とは？

　一般に，無線LAN製品では，セキュリティに関連して，以下の項目が設定できるようになっている。これは，IEEE802.11bに準拠した製品ではどのメーカーの製品の場合もほぼ共通で実装している設定項目だ。

• ESS-ID
• WEPキー
• MACアドレス登録

　無線LANを利用しているみなさんは，これらを忘れずに設定しているだろうか？

　それぞれの項目について，何を意図したものなのかちょっと説明してみよう。

◇ESS-ID
　ESS-IDとは，Enhanced Service Set IDの略だ。たんにSS-IDと呼ばれる場合もある。これは，無線LANの端末が所属する無線グループを指定するための項目だ。IEEE802.11の無線LANでは，同じESS-IDを設定した端末やアクセスポイント（AP）同士で通信し，ESS-IDが異なる端末・APとは通信ができないようになっている。

　また，同じESS-IDをもつAPのもとでは，端末を移動しながら使うこともできる。これをローミングという。

　このESS-ID，正確にいうとセキュリティの項目というよりは，有線ネットワークでいうセグメントを指定するような位置付けの項目と考えたほうがいい。有線の場合はどのハブやルータの配下にある端末か物理的に明確に分けられるが，無線ではそれができない。ESS-IDを使って無線LANのグルーピングを行うというわけだ。

◇WEPキー
　WEPとは，Wired Equivalent Privacyの略。“有線と同等のプライバシー”という意味だ。WEPで使用するキーとなる文字列を指定する。この設定を有効にすると，RC-4という暗号化方式によって，無線区間の通信は暗号化される。

　機種によってはWEPを有効にすることよって，速度の低下が起こる場合もある。それを避けるため設定しないこともあるかもしれないが，後述するESS-IDの仕様を考えると，必ず設定しておきたい項目だ。5文字の英数字の文字列，もしくは16進数10桁の数字で指定できる。

　現在，40bitが標準だが，企業向けなどの機種では，さらに長い鍵長を実装した128bit版の製品も登場している。

画面はメルコ「WLI-PCM-L11」のWEPキー設定ウインドウ

◇MACアドレス登録
　アクセスポイント（AP）に，端末のMACアドレスを登録し，登録していない端末からの通信についてはフィルタリングをする機能が，ほとんどの製品に備わっている。

　MACアドレスとは，ネットワークに接続されるありとあらゆる製品全てに対して，固有にふられている番号のことだ。ハブやネットワークカードを見ると，「00 11 FF 00 00 01」といった具合に16進数2桁の数字が6個並んだ番号が，どこかに記載さ れているはず。これがMACアドレスだ。前の数字3個の並びがメーカーを，後の数字3個の並びが，それぞれのメーカーのなかで実際に機器に付与した番号となる。

　これをAPに登録しておけば，登録していない端末がAPを利用して外部のネットワークにアクセスするのを防ぐことができるようになる。

ESS-IDに潜むワナ「ANY」

　それぞれの項目の意味について説明した。これらは面倒くさがらずに，必ず設定しておきたい機能だ。あわせてここで，あまり知られていないようだが，ESS-IDの仕様に潜むワナを説明しておきたい。

　実は，ESS-IDには，どんなIDの無線LANグループにも参加できるという，“万能の”IDが存在する。それは「ANY」，もしくはたんなる空白をIDとして入れた場合だ。

　ESS-IDの設定欄に「ANY」か空白を設定すると，その端末は，どのようなESS-IDを設定した無線LANにも参加できてしまう。802.11の標準仕様が，ESS-IDについてそう規定しているため，どの製品についても共通である。

　この仕様，もともとはオープンスペースなどでの無線LAN利用の際を想定して，ESS-IDが不明の場合でもアクセスできるようにするための仕様として設けられたもののようだ。しかし，この仕様がある以上，ESS-IDは，セキュリティ確保という点での効果を失わせているといえる。

　この仕様により，WEPキーの設定の重要性は増しているといえる。WEPキーを指定しない場合，部外者が無線LANに侵入してくるのはきわめて容易である。ANYと入れるだけでいいのだから。

　WEPキーは，面倒くさがらず，また速度低下のおそれがあったとしても，必ず設定しておくべき項目といえるだろう。

　また，WEPが非設定の無線LANにおいて，併せてDHCPサーバを運用している場合は，セキュリティを考える上ではより深刻であることを記しておきたい。なにしろ，無線LANに侵入してきた部外者の端末に自動的にIPアドレスがふられてしまうことになるからだ。

　こうなると，電波の届く範囲内に潜んで無線LAN端末を立ち上げ，DHCPによりIPアドレスを獲得した侵入者が，あなたのPCに対して荒らしを行うばかりでなく，インターネットに対しても悪意のある行為に及ぶ可能性が出てくる。DHCPサーバを入れる際には，無線LANの上述の項目を確実に設定しているか，くれぐれも注意しながら進めることが肝心だ。

設定せず，簡単に使えることが落とし穴に

　無線LANが普及している理由の1つに，思ったほど難しいものではなく，簡易に利用が開始できるという点がある。

　最近でこそ，無線LANのAPと，ISDN回線やブロードバンド回線接続用のルータが一体型になった製品が販売されるようになっている。ただ，無線LANのアクセスポイントの基本的な位置付けは，あくまでブリッジだ。有線LANと無線LANを結ぶスイッチングハブだと考えればいい。

　ルータの場合はIPアドレスや回線の情報などいろいろ複雑な項目を設定しないと動作はしない。ところが，もともとの発想がハブとなれば話は別だ。何も設定しなくとも動作してしまうのが無線LANだ。

　無線LANのAPは，ESS-IDやWEPが設定されていればそのルールに従ってデータ通信のフレームを送受信する。しかし，それらの項目が特に設定されていない場合は，ノーセキュリティのハブとしての動作をする。その場合は，ESS-IDの指定もなく，WEPによる暗号化もないフレームをそのまま垂れ流していることになる。

　無線LAN製品を買ってきて箱から出し，そのままAPのスイッチを入れ，端末にカードをインストールして，とりあえずアクセスできた。それでコードレスフォン感覚で使って，そのまま満喫しているユーザーもいるかもしれない。

　しかし設定を何もせずに，あるいは初期状態で設定されているデフォルト値のまま無線LANを利用することは危ない。そのことは，この記事をお読みになった方なら理解できると思う。もし，悪意をもち，それなりのスキルのある部外者が近隣に潜み，その電波を受信してしまったら……。

　便利に使える無線LAN。だからこそちゃんと必要な設定がされているかどうかを，確認することが必要だ。部外者のアクセスの可能性に対する対策を打って，安心して無線LANを使えるようにしておきたい。

Copyright © ITmedia, Inc. All Rights Reserved.

---