しるかブログ

ボンクラCyberSecurityブログ

未熟者によるサイバーセキュリティに関するブログ

SSIDステルス機能は無効にせよ - 家庭用Wi-Fiルータの設定について考えてみた②

ホーム Wi-Fiルータの設定に関する、2回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


Wi-Fiルータは、自身のアクセスポイントを識別させるため、SSIDを無線の電波に乗せて発信しています。
パソコンやスマホ側で無線LANの設定を開くと、受信したSSIDの一覧が表示されます。
この仕組みが「SSIDブロードキャスト」であり、通常はこれがデフォルト設定です。

Wi-Fiルータの設定で、このSSIDを発信させない「SSIDステルス機能」というものがあります。
ステルス機能をONにすれば、パソコンやスマホ側で無線LAN設定画面を開いても、SSID一覧に表示されません。
まとめると↓こんな感じ(下手な絵でゴメンナサイ)

f:id:AlcatrazExodus:20201101182909p:plain

1回目の記事で、SSID名を他メーカーの規則にすることを書いたのですが、
そもそもSSID自身を隠してしまえばセキュリティが向上するのではないかと考えたため、
以下のように検討しました。


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID

2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード


【結論】

SSIDステルス機能は無効にする


【考えたこと】

Wi-Fiをタダ乗りしようとする攻撃者に対し、Wi-FiルータSSIDステルス機能を有効にしておけば
見つからないのではないか。
どっちにしてもSSIDを隠せるのであれば隠した方がよく、デメリットなどないのではないか。

そもそも、パソコンやスマホはステルスSSIDにどうやって接続するのか。
それは、↓のようにSSID名を指定して、ステルスであることを設定します。

f:id:AlcatrazExodus:20201101172450p:plain

ちなみにこれを「動的スキャン」と言います。
通常のSSIDブロードキャストで接続するやり方は「静的スキャン」と言います。
いくらSSIDを隠しても、攻撃者がこの動的スキャンをやれば見つかってしまいます。

いや、その前にスマホはどうやってステルスの Wi-Fiルータに接続しにいくのだろうか。
先ほども書きましたが、スマホでステルスSSIDに接続するためには↑の画像のように、
ステルスであることを明示します。
通常の接続はSSIDブロードキャストを受信して、スマホSSIDを選択するのに対し、
実は、ステルス SSIDに対してはスマホ側からSSIDを探しに行きます。

ということは、外出しているときも仕事に行っているときもステルスSSIDを探しているのです。
ステルスSSIDを探すということは、自宅Wi-FiルータSSIDに関する情報を電波に乗せているということなので、
他者に知られるリスクがあるのです。

f:id:AlcatrazExodus:20201101182533p:plain


さらには、実際には誤差かもしれませんが、常にステルスSSIDを探すという処理が
スマホやバッテリーに負担をかけているような気もします。

設定メリットデメリット
ステルスON Wi-FiルータSSIDをとりあえず隠せる
 (通攻撃者から見つかりにくい)
スマホ側は常にSSIDを探しにいく
 (探すSSID情報垂れ流し)
スマホに負荷がかかるかもしれない
ステルスOFF スマホ側は受信したSSIDから選択するのみ Wi-Fiルータ側はSSIDを垂れ流す


結局のところ、メリットデメリットはトレードオフとなりますが
個人的には、ステルスをONにしたときの無線LANクライアント側のデメリットを考えると

SSIDステルス機能は無効にする

方が良いのかなぁと思った次第です!