確実なデータ消去ならピーシーキッド

フリーダイヤル東京/0120-56-2982 大阪/0120-25-2982
CONTACTお問い合わせ

最新情報NEWS

HOMEブログ無線LANルーターに潜むセキュリティリスク

無線LANルーターに潜むセキュリティリスク

ノートPCを見ながら打合せをする女性のイメージ画像

無線LANルータの暗号化方式について

会議に学習、ゲームやライブ、買い物や食事など生活に関わる多くのことが、インターネットを介して得られるようになり、利便性を享受する一方でその弊害も報告されています。 Wi-Fiは、複数のデバイスから同時に接続できるメリットがありますが、暗号化の規格によってはセキュリティレベルが低くなります。

暗号化とはインターネットを利用する際に通信内容やユーザーの情報などが通信中に無断で見られたり、故意に改ざんされないように通信途中のデータを一定の規則によって変換することです。この変換する方式の規格が暗号化規格で、2025年現在ではWPA2の脆弱性を克服し、安全性が向上したWPA3がメインストリームです。WPA2も引き続き使用されてはいますが、それ以前の暗号化規格は非推奨となっています。

WPA2では「4-way Handshake」というプロトコルを使っていて、辞書攻撃によって短いパスワードや単純なパスワードは突破されてしまうリスクがありました。WPA3ではその脆弱性をカバーするために「SAE(Simultaneous Authentication of Equals)」というプロトコルを採用し、辞書攻撃(オフラインでの高速な総当たり攻撃)が不可能になりました。また、公衆Wi-Fiを使う場合もWPA3ではユーザーごとにデータ通信が自動的に暗号化されます。

WPA3は2019年以降広く利用されるようになり、WPA2プロトコルを使用するデバイスとの下位互換性があります。多くの最新ルーターには「WPA2/WPA3 Transition Mode」という機能があり、設定でこれをONにすると、WPA3対応機にはWPA3で、未対応機にはWPA2で自動的に接続してくれます。

無線LANルータのファームウェア

無線LANルータの脆弱性をカバーするためには最新のファームウェアに更新する必要がありますが、その入手経路自体が中間者攻撃に狙われるリスクがあります。中間者攻撃は、比較的古くからある攻撃手法で、ユーザーとサービスの間に割り込み、改ざんやデータの盗聴を行います。暗号化されていない通信(httpなど)や、セキュリティ設定が十分でないネットワーク機器が被害の対象となります。リアルタイムでの検知が難しく、被害を被ってから気がつくことが多いため、予防が肝心です。このリスクを軽減し、安全にファームウェアを更新するためには、以下のようにいくつかの対策を講じる必要があります。(無線LANルータが古い場合は以下の対応が難しい可能性もあります。ルーターのメーカーサポートが終了している可能性もありますので、買い替えをおすすめします。)

  • 1. 無線LANルータの自動ファームウェア更新機能
    最新の無線LANルータには、自動ファームウェア更新機能が搭載されています。初期設定の際にこの機能を有効にしておくことが重要です。メーカーのサーバから直接更新されるため、ダウンロードの際のセキュリティリスクが大幅に軽減されます。但し、ルータが古い場合はこの機能が使えない可能性があります。
  • 2. 無線LANルータの管理画面へのアクセス制限
    無線LANルータの最新ファームウェアの更新を正しく行うため、および更新後のセキュリティを維持するために無線LANルータの管理画面へのアクセス制限は大変重要です。ファームウェアの更新は多くの場合無線LANルータの管理画面から行われます。管理画面に管理者以外の第三者が不正にアクセスできないよう制限することで、ファームウェアの不正なバージョンをアップロードしたり、ファームウェア更新の設定の妨害を防ぎます。また、無線LANルータの管理画面へのアクセス制限を厳格化することで、ファームウェア更新後に無線LANルータのセキュリティ設定(Wi-Fiのパスワードや暗号化方式などに関する設定)を勝手に変更されないようにします。
  • 3. 無線LANルータのメーカーの公式サイトからファームウェアをダウンロード
    一番安心なのは、ルータの自動ファームウェア更新機能をオンにしておくことですが、手動でファームウェアをダウンロードする場合は、必ずメーカーの公式サイトからダウンロードするようにします。巧妙に作られた偽サイトを見分けることは難しいですが、トップレベルドメインが使われているか、スペルが微妙に違っていないか、コンテンツの日本語が変ではないかなどで明らかに偽サイトであることがわかるケースもあります。ブックマークからのリンクやまとめサイトからアクセスするのではなく、URLをアドレスバーに直接入力して公式サイトからファームウェアをダウンロードしましょう。
  

無線LANルータをMITM攻撃(中間者攻撃)から守るための購入後の初期設定

無線LANルータのセキュリティレベルが低い場合、MITM攻撃(中間者攻撃)のターゲットになる可能性があります。MITM攻撃(中間者攻撃)は、2者通信に不正に割り込み、データの暗号化に用いる「公開鍵」を窃取し、情報の盗聴や改ざんを行います。MITM攻撃(中間者攻撃)では、準備期間を設け、2者間のやりとりを長期にわたり監視します。潜伏期間が長いことで、データの盗聴にも気付かれにくいのが特徴です。

攻撃者は、ARP※1(アドレスをリンクさせる仕組み)へのリクエストが行われた際に不正なアドレスを使って応答することで無線LANルータになりすまし、目的を遂げます。一般的な手口では、攻撃者が公開鍵になりすまし、ターゲットに偽の鍵を渡します。偽の鍵で暗号化されたデータは、攻撃者に簡単に読み取られます。

※1ARP : IPアドレスを知っている状態で、その機器がネットワーク上で実際に通信するために必要となるMACアドレス(物理アドレス)を見つけ出すために利用される仕組み 機器AがARPリクエストをネットワーク全体にブロードキャスト(一斉送信)し、合致する機器Bが「そのIPアドレスはこの機器で、MACアドレスはこれです。」とユニキャスト(ARP応答)を返す。

MITM攻撃(中間者攻撃)による被害には以下のようなものがあります。

  • クレジットカード情報の漏洩
  • 通信データの妨害
  • アカウント情報の盗難
  • 不正送金の被害
  • 情報漏洩

無線LANルータをMITM攻撃(中間者攻撃)から守るためには、無線LANルータの初期設定が非常に重要です。

無線LANルータの設定
管理者アカウント変更
工場出荷時のデフォルトのアカウントはインターネットで確認できるため、無線LANルータ購入後、すぐにアカウントを変更し、パスワードは長く複雑なものに変更します。(12文字以上で英大文字、小文字、数字、記号を混在させ、意味のある文字列は避ける。)
管理画面へのアクセス制限
管理画面へのアクセスは「LAN側のみ」「特定端末のみ(IP/MAC制限があれば設定)」に設定し、インターネット側からの設定画面アクセスは絶対に無効化します。
ファームウェアの自動更新を有効化
最新のファームウェアに更新することで脆弱性が塞がれます。初期設定の段階で必ず更新し、自動更新と更新通知を有効化します。
PAGE TOP