「WPA2-PSK(AES)のルーターの安全性は低いのか」
と懸念を持つユーザーにWPA2-PSK(AES)の仕組みや安全性などについて解説します。
ルーターを購入する際にWPA2-PSK(AES)までしか対応していない場合でも購入してよいのか判断しかねる場合などの参考となれば幸いです。
Wi-Fiの通信は暗号化されている
スマホやパソコンなどを無線で接続する方法の一つとしてWi-Fiによる無線接続があります。
Wi-Fiを介した通信においては端末とルーターの間の通信内容を暗号化。
万が一電波を傍受されても、その電波から通信内容が分からなくなるように仕込まれています。
通信の秘密を守るためにも通信内容の暗号化はホームネットワークの構築においても意識したい要素の一つといえるでしょう。
WPA2
WPA2はWi-Fi Protected Access の略で、Wi-Fi接続に用いられる暗号化の技術の一種です。
RC4というアルゴリズムを用いたTKIPによる暗号化を行うWPA2-TKIP、AESという暗号化アルゴリズムを用いたCCMPによる暗号化を行うWAP2-CCMP(WPA2-AESと表記されることも)があります。
家庭用のWPA2ルーターにおいてはあらかじめ設定したIDとパスワードで端末とルーターのアクセス管理を行うPSK(Pre-Shared Key)方式が採用されています。
暗号化アルゴリズムと暗号化方式
暗号化アルゴリズムとは元のデータを暗号化するためのルールの事です。
例えば「すべてひらがな表記にしてあ→い、か→きのように一文字ずつずらす」などのような具体的な暗号化の手順の事を指します。
特定の暗号化アルゴリズムを用いてデータを暗号化する一連の手順を暗号化方式といいます。
暗号化アルゴリズムと暗号化方式は近い概念ですが、それぞれが指し示すプロセスの範囲が異なっているという点で若干意味が異なっています。
RC4とAES
RC4とAESはWPA2に採用されている暗号化アルゴリズムの一種です。
RC4は現在は脆弱性が見つかっており、利用は奨励されていません。
AESは米国政府機関の情報機器システムにも採用されている暗号化アルゴリズムで、ユーザーの身近にはWi-Fiやインターネット通信の暗号化などに用いられています。
TKIPとCCMP
TKIPとCCMPはWPA2に採用されている暗号化方式です。
TKIPはRC4を暗号化アルゴリズムとするWi-Fiの暗号化方式です。
RC4の脆弱性により、現在は使用を避けるべきWi-Fiの暗号化方式となっています。
iOSではTKIPによるWi-Fi接続を行うと、「安全性の低いセキュリティ」という警告が表示されるようになっています。
CCMPはAESを暗号化アルゴリズムとするWi-Fiの暗号化方式です。
TKIPより安全性が高く、CCMPによるWPA2でのWi-Fi接続であれば「安全性の低いセキュリティ」の警告画面は表示されません。
現状でできる限り対応しておきたいWi-Fiの暗号化方式といえるでしょう。
WPA2の脆弱性
WPA2のKRACKsという脆弱性
WPA2にはKRACKsという脆弱性が指摘されています。
ユーザーとルーターの間に入りこみ、通信内容を盗聴。
ユーザーに対してはルーターのように、ルーターに対してはアクセスポイントのようにふるまってデータの授受を行い、暗号のやり取りを盗み見ます。
KRACsをついた攻撃を受けてしまうと、通信内容がWPA2で暗号化されていても盗み見られてしまいます。
悪用のハードルは高い
脆弱性が指摘されているとはいえ、その悪用にはいくつかのハードルがあり、実際に攻撃を実施するのは簡単ではありません。
実際にKRACsによるサイバー攻撃が行われたという被害は確認されていません。
KRACsによる攻撃を意図する攻撃者は、ルーターとユーザーの端末の電波届く範囲で活動可能となります。
また、攻撃者が用意した疑似ルーターにユーザーが接続した場合に接続が可能となります。
範囲が限られている上、ユーザーの手でアクセスさせる必要がある点でKRACsの実際の攻撃のハードルは相応にあるといえるでしょう。
端末のOSアップデートにより対処済み
Windows、Mac OS、iOS、Androidなどの各種OSはアップデートによりWPA2脆弱性対策を実施。
KRACsへの対策は2017年に実施されているため、現在新品で購入する端末には購入時点で対策済みである場合がほとんどでしょう。
ベンダーが提供する対策の実施を徹底することに加え、利用者としてもVPNを利用したり、https以外のサイトを使用しないなどの工夫によりリスク低減が可能です。
パソコンやスマホだけでなく、ルーター側の対策も必要となります。
たとえば、以前の記事で紹介した「Aterm HT100LN」もWPA3未対応となっており、対策が求められます。
公式サイトによると、KRACsによる影響はない旨、製造メーカーのNECプラットフォームより発信されています。
公式声明がある以上、「Aterm HT100LN」については、WPA3非対応でも現状使用しても問題ないと結論付けます。
WPA3に対応しているのが理想
現在、WPA2の上位規格としてWPA3が登場しています。
上位規格がある以上、WPA2-PSK(AES)が直ちに危険とは言えないとはいえ、選択肢があれば上位の暗号化方式に対応しているルーターを選ぶのが理想でしょう。
WPA2-PSK(AES)までしか対応していないルーターの安全性は?
WPA2-PSK(AES)までしか対応していないルーターの安全性について解説しました。
WPA2-PSK(AES)はWi-Fiの暗号化技術の一種です。
AESという暗号化アルゴリズムを用いたCCMPという暗号化方式によってWi-Fi通信を暗号化しています。
KRACsという脆弱性が確認されていますが、スマートフォン・パソコンの多くでセキュリティパッチを公開済。
アップデートを行うことがKRACsの対策の一つとなります。
また、「Aterm HT100LN」などのようにWPA2のままでも利用して差し支えないルーターもあるため、自身が利用しているルーターの対応状況について、再度確認しましょう。
コメント