ホーム Wi-Fiルータの設定に関する、４回目の記事となります。

自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか！？

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。

今回はWi-Fi接続における認証モード設定についてです。
WEPとかWPAとかWPA2とかのお話です。
ちなみに最近はWPA3が出てきたため、これからのデファクトになると思いますが、
我が家の通信機器にWPA3に対応しているモノがありません...orz

【目的】

自宅のWi-Fiルーターに他人を接続させないこと

【手段】

下記設定を考え、最適な設定を考えてみる。

１．SSID名

２．SSIDブロードキャスト

(ステルスにするかどうか)

３．PSK（PreSharedKey = 事前共有鍵）

→４．認証モード

５．暗号化モード
６．MACアドレスフィルタリング
７．Wi-Fiルーター自体のIPアドレス
８．管理画面（設定画面）のログインID・パスワード

自分が管理するデバイスのみをWi-Fiルータに接続するためには、
Wi-Fiルータ側でデバイスを「認証」させる必要があります。
デバイス側でSSIDを選択しPSKを入力することでWi-Fiルータに接続できますが、
それが認証です。

その認証には、様々な方式があります。
我が家のWi-Fiルータ設定画面では↓のとおりでした。


ひとつひとつ見てみると

「①オープン」は、誰にでも接続を許してしまうので当然NGです。

「②共有」は、一応設定したパスワードで認証はしますが、
このパスワードは攻撃者に簡単に解読されてしまうのでNGです。

「③WPA PreSharedKey」はWEPよりも強固なためクラックはしにくいですが、
「④WPA2 PreSharedKey」という上位バージョンがあるのであればこっちを使うべきです。

「⑤WPA/WPA2 PreSharedKey」はWPAとWPA2のどっちも使えます、という設定です。
「⑥以降のエンタープライズ」は、基本的企業用であり認証サーバが必要となるため、
個人宅では使う必要はないと思います。

そうなると、選択肢的には、
④WPA2 PreSharedKey
⑤WPA/WPA2 PreSharedKey
に絞られるのですが、当然バージョンが高い方がセキュリティも高いため、
「④WPA2 PreSharedKey」一択になるかなぁと思います。

が、結局のところ、 Wi-Fiルータと接続するデバイスの両方で、
同じ認証モードに対応していないと認証ができません。
つまり、 デバイスがWPA2に非対応で、WPAにしか対応していない場合、
「④WPA2 PreSharedKey」のWi-Fiルータには接続できなくなってしまいます。
つまり↓こんな感じ（絵ヘタクソですスイマセン）
我が家のWi-Fiルータのデフォルトは「⑤WPA/WPA2 PreSharedKey 」でした。
そして私は、自分が使用しているデバイスが全部WPA2に対応しているか分からなかったので、
試しにWi-Fiルータの2.4GHz、5GHzの両方とも「④WPA2 PreSharedKey」に変更してみました。

結果、全てのデバイスが接続されたままだったため、
「④WPA2 PreSharedKey」で運用することとしました。

今後この認証モード設定を変えるタイミングとしては、

・新たに接続するデバイスがWPA2非対応だった場合

→「⑤WPA/WPA2 PreSharedKey」に変更

・Wi-Fiルータと一部のデバイスがWPA3に対応した場合

→「WPA2/WPA3 PreSharedKey」に変更

・Wi-Fiルータと全デバイスがWPA3に対応した場合

→「WPA3 PreSharedKey」に変更

ホーム Wi-Fiルータの設定に関する、２回目の記事となります。

自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか！？

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。

Wi-Fiルータは、自身のアクセスポイントを識別させるため、SSIDを無線の電波に乗せて発信しています。
パソコンやスマホ側で無線LANの設定を開くと、受信したSSIDの一覧が表示されます。
この仕組みが「SSIDブロードキャスト」であり、通常はこれがデフォルト設定です。

Wi-Fiルータの設定で、このSSIDを発信させない「SSIDステルス機能」というものがあります。
ステルス機能をONにすれば、パソコンやスマホ側で無線LAN設定画面を開いても、SSID一覧に表示されません。
まとめると↓こんな感じ（下手な絵でゴメンナサイ）

１回目の記事で、SSID名を他メーカーの規則にすることを書いたのですが、
そもそもSSID自身を隠してしまえばセキュリティが向上するのではないかと考えたため、
以下のように検討しました。

【目的】

自宅のWi-Fiルーターに他人を接続させないこと

【手段】

下記設定を考え、最適な設定を考えてみる。

１．SSID名

→２．SSIDブロードキャスト

(ステルスにするかどうか)

３．PSK（PreSharedKey = 事前共有鍵）

４．認証モード
５．暗号化モード
６．MACアドレスフィルタリング
７．Wi-Fiルーター自体のIPアドレス
８．管理画面（設定画面）のログインID・パスワード

SSIDステルス機能は無効にする

Wi-Fiをタダ乗りしようとする攻撃者に対し、Wi-FiルータのSSIDステルス機能を有効にしておけば
見つからないのではないか。
どっちにしてもSSIDを隠せるのであれば隠した方がよく、デメリットなどないのではないか。

そもそも、パソコンやスマホはステルスSSIDにどうやって接続するのか。
それは、↓のようにSSID名を指定して、ステルスであることを設定します。

ちなみにこれを「動的スキャン」と言います。
通常のSSIDブロードキャストで接続するやり方は「静的スキャン」と言います。
いくらSSIDを隠しても、攻撃者がこの動的スキャンをやれば見つかってしまいます。

いや、その前にスマホはどうやってステルスの Wi-Fiルータに接続しにいくのだろうか。
先ほども書きましたが、スマホでステルスSSIDに接続するためには↑の画像のように、
ステルスであることを明示します。
通常の接続はSSIDブロードキャストを受信して、スマホでSSIDを選択するのに対し、
実は、ステルス SSIDに対してはスマホ側からSSIDを探しに行きます。

ということは、外出しているときも仕事に行っているときもステルスSSIDを探しているのです。
ステルスSSIDを探すということは、自宅Wi-FiルータのSSIDに関する情報を電波に乗せているということなので、
他者に知られるリスクがあるのです。

さらには、実際には誤差かもしれませんが、常にステルスSSIDを探すという処理が
スマホやバッテリーに負担をかけているような気もします。

SSIDステルス機能は無効にする