著者:田中麻維
大手電機メーカー系のSierに入社後、インフラエンジニアとしてLinuxサーバーの構築や保守・運用、ソフトウェアの開発業務を経験。アイティベル入社後は、IT領域の執筆などを行う。
普段は意識せずに利用している無線LANの通信が、どのような仕組みで接続されているかイメージしたことはあるでしょうか。無線通信を安全に接続するためには、通信の暗号化方式を理解することが重要です。
本記事では、現在広く使われている無線LANの暗号化・認証方式であるWPA2-PSKについて、特徴や設定方法を解説します。
1. WPA2-PSKとは
WPA2-PSKは、Wi-Fiアライアンスという業界団体が提唱する無線LANで利用する暗号化・認証方式のことです。多種多様な無線通信のセキュリティ設定の中でも、長年にわたり安全に利用できると提唱されており、PSKという事前鍵共有を利用します。
無線LANの通信はアクセスポイント(AP)までの通信を盗聴できてしまうため、このようなセキュリティ設定を利用して、安全な通信を実現しています。
合わせて、SSL/TLS暗号化を使用したHTTPS通信を行うことで、デバイスとWebサーバー間で全ての通信が暗号化されるため、通信の傍受や改ざんを防ぐことが可能です。
近年利用されている暗号化の規格には、WEP、WPA、WPA2、WPA3などがあります。
暗号化規格の詳細については、下記の記事も参考にしてください。
2.WPA2-PSKのセキュリティの特徴
この章では、WAP2-PSKのセキュリティ要素と特徴について解説します。WPA2-PSKはWPA2-PSK(AES)と記載されることもあります。
名称に使われている語句を分解すると、以下のとおりです。
- WAP2:暗号化の規格
- PSK:認証方式(事前に設定した暗号鍵を使う)
- AES:暗号化方式
これらについて詳細に解説します。
WPA2(暗号化の規格)
WPA2とは、無線LANの暗号化の代表的な規格の1つです。2001年に承認されて以来、現在に至るまで使われ続けています。
WPA2では、暗号化方式にCCMP(AES)を利用しています。CCMPは、AESアルゴリズムをベースにしてメッセージ認証と整合性検証を備えており、最長で256ビットの暗号鍵が利用可能です。
なお、WPA2には2つのモードがあります。
- WPA2-PSK(パーソナルモード)
・個人向けの規格
・事前共有キー(Pre-Shared Key)で認証 - WPA2-EAP(エンタープライズモード)
・企業向けの規格
・「ユーザーID/パスワード」や「電子証明書」を用いて認証
PSK(認証方式)
PSKとは認証方式で、事前共有鍵とも呼ばれます。デバイスとアクセスポイント間で共通の鍵を持ち、その鍵を比較して認証します。
AES(暗号化方式)
AESとは、Advanced Encryption Standardの略で、暗号化方式のことです。共通鍵暗号を利用しており、複雑な事前共有キーを使うことで、より安全にアクセスポイントにアクセスできます。具体的には8文字以上、63文字以下の複雑な構造の文字列を利用します。
以下の図は、通信が確立するまでのやり取りを示したものです。
3. 無線セキュリティの重要性
身の回りを見てみると、多くのデバイスが無線LANを利用してネットワークへ接続しています。
この章では、無線LANにどのようなセキュリティリスクがあるかについて解説します。
無線LAN利用上のリスク
デバイスを無線LANで接続する際には、以下のリスクがあります。
盗聴
利用者が気づかないところで通信内容を傍受し、通信内容を盗み見られてしまうことがあります。
なりすまし
悪意のある利用者が不正にアクセスポイントの情報を入手し、正規の利用者になりすまして不正にサービスを利用することがあります。
不正目的でのインフラ利用
無線LANは、端末から接続するアクセスポイントが一覧で表示されます。アクセスポイントの設定次第では、他人にもアクセスポイントが見られてしまいます。
その場合、アクセスポイントに対応するパスワードさえあれば、そのネットワークに接続可能であるため、アクセスポイントを不正に利用される危険があるといえます。
悪意のあるアクセスポイント設置して通信内容を窃取
不特定多数のユーザーが利用できるアクセスポイントを準備して、そこにアクセスさせることで通信内容を窃取することを目的とした、悪意のある利用者もいます。
ここで紹介した4つのリスクについては、IPAや総務省からもガイドラインが出ています。こちらもぜひ参考にしてください。
参考:
公衆無線 LAN 利用に係る脅威と対策
安心して無線 LAN を使用するために
WPA2のリスク
WPA2は長い間使用されている方式で、現状では対策を講じればまだまだ安全に利用可能です。ただし、WPA2にもリスクがあることは覚えておきましょう。
代表的なリスクの1つが、WPA2の脆弱性「KRACK」による攻撃です。WPA2の暗号化鍵交換のプロセス(4way handshake)に介入することで、暗号化された通信を複合化し、通信内容を窃取します。
最近では、KRACKの対策として、新たな鍵交換プロセス「SAEハンドシェイク」を利用する暗号化方式であるWPA3が活用されています。
WPA2とWPA3の鍵交換プロセスの違いについては、こちらの記事をご参照下さい。
4. WPA2-PSKの設定方法
WPA2-PSKを使用する際には、デバイスから接続するアクセスポイント(AP)側の設定とアクセスポイントに接続するデバイス側の設定が必要です。
WPA2-PSKを利用するために必要な設定方法を解説します。
1.アクセスポイント側の設定
無線LANのアクセスポイントの設定をする際には、無線LAN機器の管理者アカウントが必要です。
設定内容
以下の項目を入力し、アクセスポイントに設定する内容を定義します。
- SSIDの設定
- 端末のネットワーク設定
- セキュリティの種類:WPA2-PSKを選択
- 暗号化の種類:AES
- パスフレーズの設定
2.接続するデバイス側の設定
PCやスマートフォンなどのデバイス側の設定を行うためには、アクセスポイントへの接続情報が必要です。
設定内容
- アクセスポイントの選択
- セキュリティの種類:WPA2-PSKを選択
- パスワードの入力
- アクセスポイントに接続できる環境で自動的に接続する設定
アクセスポイント側とデバイス側で適切な設定を行うことで、無線LANでの安全なネットワーク接続が可能になります。
設定における注意点
WPA2-PSKの設定をする際には、以下の注意点があります。
- すべての機器が選択した通信方式になっていること
- 古い端末では接続できないことがある
- ネットワークキーを手動で設定もできるが、複雑なものにしないとセキュリティ面のリスクがある
- ネットワークキーの文字列の長さは最低でも20文字以上にする
これらに留意して、設定を行いましょう。
5. WPA2-PSKを利用したセキュリティ強化のポイント
WPA2-PSKによる暗号化をより強固にするためには、鍵長をなるべく長く設定することが大切です。また、他人が容易に推測できるパスワードやパスフレーズを使わないようにすること、不用意に不特定多数のユーザーに対して情報開示しないことも意識しましょう。
WPA2-PSKを企業で利用する場合、共有鍵であるがゆえに、パスワードやパスフレーズを知っている人なら誰でも無線ネットワークにできてしまいます。そのため、パスワードやパスフレーズを知っている従業員が退職または異動の際に、情報漏洩のリスクが生じる点には留意しなければなりません。
会社の規模が大きくなり、セキュリティ面の管理が煩雑である場合は、企業向けの規格であるWPA2-EAPを用いた環境構築を検討することをおすすめします。
まとめ
WPA2-PSKは、無線LANによる通信において、広く利用されているセキュリティ設定です。WPA2-PSKの特徴を理解し、無線ネットワークを適切に設定することで、安全な通信を実現できます。本記事で紹介した注意点やリスクも考慮しながら、環境に合わせた方式で設定することをおすすめします。
