自宅のWiFiは安全なのか。スマホやPCで表示される多数のWiFiのリストを見ると、逆に悪意のアクセスも多数あるのではないかと不安になることがある。
WiFiは大変に一般的なものとなったため、都市部の住宅では、WiFiが密集しており、20件以上表示されることも珍しくない。WiFiルーターでは暗号化がデフォルトになっており、近所の人が間違って入ってきてしまうということは通常は起こらない。
ただし、悪意のある人が情報を盗み見ようとする危険についても不安に感じられるようであれば、もう少し対処が必要である。要点をまとめる。
1. WiFiルーターの管理者名とパスワードを変更
WiFiルーターの管理者名とパスワードをデフォルトから別の名称に変更する。これがまず第一に重要。初期値のままにしておくのは良くない。
2. WiFiルーター管理画面から接続先をチェック
WiFiルーターの管理画面から、自宅のPC、スマホ、などネットワーク製品の数を越えていないかチェックする。
おかしいなと思ったら、忘れがちなプリンターやスマートスピーカーなどを確認する。機器のネットワーク情報などを調べて、MACアドレスをメモしておくようにする。
3. PCからLAN接続機器の一覧をチェック
これは「2. WiFiルーター管理画面から接続先をチェック」と全く同じことである。日常的に便利だというだけだ。PCやUNIXやMacOSのマシンから、LANに接続している機器の一覧をチェックする。UNIXやMacOSのターミナルからは、” arp -a “というコマンドを使う。
IPアドレスとMACアドレスの一覧が出てくる。ただし、キャッシュしているのか、ちょっとリアルタイムから少し遅れることがある。
通常であれば、arp -aコマンドの出力は、このような感じだ。
$ arp -a
? (192.168.2.101) at 11:22:33:44:55:66 on en1 ifscope [ethernet]
? (192.168.2.102) at 22:33:44:55:66:77 on en1 ifscope [ethernet]
? (192.168.2.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet]
のような感じになる。その中で、IPアドレスが、169.254.で始まるものが出てくる場合があるが、これは短期的にWiFi接続に失敗したアクセスである。WiFiに接続できなかった時、自らのPCのIPアドレスを表示しようとした時に出てくることもある。プライベートアドレスが割り当てられなかったということだ。
ただし、arpは広い範囲で認識されていないことがよくあるので、ブロードキャストIP宛(xxx.xxx.xxx.255)にpingを実行してから、arp -a を実行すると良い。上記の例では、ping 192.168.2.255 だ。
$ ping 192.168.2.255
4. 不明な機器をあぶり出す
自宅の安全確実な機器のMACアドレスを調べて、それをメモして除外していく。IPアドレスは、自動でIPアドレスが割り振る機能(DHCP)を使っていることが多いので、毎回同じとは限らない。(初歩的なことですが)IPアドレスでは機器を特定することはできない。
MACアドレスとは、00:11:22:33:44:55のような形式でよく表示されるが、コロンに意味はなくそれを除いた数字もしくはアルファベットの12桁のコードである。MACアドレスは機器ハードウェアに固有である。このコードは世界でユニークになっている。
5. SSIDのステルス機能は意味がない
SSIDは接続先の一覧としてスマホやPCで表示されるものだ。WiFiネットワークの名前である。
SSIDを変更することが良いかのように書いてあるサイトもあるが、特に効果はない。SSIDには個人を特定できるような名称は使用するべきではない。どこの誰とは分からないような名称にしておけば良い。
SSID自体はデフォルトで問題はない。
ステルス機能を持つものもあり、ステルス機能OnにすることでSSIDをブロードキャストしなくなり、PCやスマホの一覧には表示されなくなる。
しかし、全く見えなくなるわけではなくて、端末がWiFiに接続している間は、SSIDは検出されてしまう。また、自宅で普段ステルス接続している人が、そのままPCやスマホを持って出かけると、外でも自宅のSSIDを呼び続けてしまい周囲にSSIDを公開してしまう。
6. 他人には公開しない
知人友人として来客時であっても、他人には公開しないのが良い。知人友人を安易に疑えるものではない。悪意はなくても意識は低いかもしれない。パスワードのメモをポケットに入れっぱなしにしているかもしれない。
知人友人がプロ級のハッカーでないことが確実であっても、その機器や情報が、誰に渡るか測り知れないので、それが不安の原因となることもありうる。
7. MACアドレスでフィルタリングしてもよいが・・・
WiFiルーターには、登録したMACアドレスだけを接続許可する設定がある。MACアドレスによるアクセス制限は、一定の効果が見込まれるけれども、MACアドレスの偽装も可能なので、絶対的な安全が得られるわけではない。
MACアドレスで特定の機能のアクセス制限をかけようとしても意味はないと考えた方が良い。
また、MACアドレスで制限をかける時に注意しなければいけないのは、現在のiOSやAndroidなどに組み込まれた、ランダムMACアドレス機能である。本来の機器固有のMACアドレスとは別に、WiFi接続用にネットワークアドレスをランダムに設定して、 MACアドレスの代わりに使用する機能である。
従来の方式では公共のWiFiに接続する時には、MACアドレスを通知することになるので、外部にMACアドレスを残してしまう。MACアドレスは暗号化されない。
すると、ネットワーク上で位置情報と関連付けて保存されていたりする可能性もあり、個人の特定にも使われているかもしれない。そこで少しでも個人が特定され難くなるようにランダム化が考え出された。
不審なMACアドレスかと思ったら、このランダムMACアドレスだったということが起こる。
自宅のWiFiでMACアドレスでフィルタリングする場合は、スマホのWiFiの設定で、このランダムMACアドレスを停止しておく必要がある。iOSの場合は、「設定」→「Wifi」→自宅のWiFiの○iのマークをタップ→「プライベートアドレス」がOnになっていたら、タップしてOffにする、とすれば固定のMACアドレスで通信できる。
8. ルーターのWPS機能やPIN方式を無効にする
Windowsマシンで、エクスプローラからネットワークをクリックすると、見知らぬデバイスが表示された。スマホだったり、ミュージックプレーヤーだったりする。
プロパティを表示させると物理MACアドレスも表示できる。一瞬、ハッキングされているのかと不安になったが、どうもそうではない。
Windowsには独自にWPSに応答する機能があり、仕様なのかバグなのか、接続する以前のデバイスが接続されているかのように表示される。
WPSというのは簡単にWiFiに接続する機能である。ルーター側のボタンで接続を承認するものと、8桁程度の短いPINという数字で接続するものがある。プッシュボタン式はともかく、PIN方式は、SSIDと暗号キーで接続するよりもキーが圧倒的に短い。かつ仕様上の脆弱性もあり、セキュリティのリスクが高い。
セキュリティを強化するためには、PIN方式のWPSの使用を止めて、ルーター設定でWPSを無効にすることを検討すべきである。