Wi-Fiにセキュリティ対策をしないとどうなる?リスクと対策について解説

Wi-Fiにセキュリティ対策をしないとどうなる?リスクと対策について解説

セキュリティ2024.11.11

Wi-Fi_fishing

1.はじめに

Wi-Fiセキュリティは、有線ネットワークの対策と比べて対応しきれていないという企業が実はとても多く、その脆弱性からハッカーの標的にされやすいトレンド領域と言われています。

スマートデバイスの利用やテレワーク対応などで社内のWi-Fiニーズが高まっているけれど、セキュリティ対策方法がよく分からず不安を感じている方に向けて、このコラムを執筆しました。
内容は、Wi-Fiのセキュリティ対策を行う必要性と、対策ですべきことの基礎的な内容を中心に詰め込んでおります。

コラムを読み終えるころには、対策できていなかったWi-Fiセキュリティで最低限取り組むべきことがイメージできると、執筆者としては幸いです。

2.Wi-Fiにセキュリティ対策をしないとどうなる?

Wi-Fi_businessperson

脆弱性のある状態でWi-Fi機器を使用していると、接続を許可されていない悪意のある第三者が社内のネットワークに侵入してしまう可能性があります。
そうなれば、データ改ざんやマルウェア感染、情報漏えいにつながってしまいます。

Wi-Fiにセキュリティ対策をしない場合に発生する具体的なリスクは以下のとおりです。

不正アクセスおよび情報漏えい

Wi-Fi通信のセキュリティ対策の強度が低い場合、悪意のある第三者から、無線アクセスポイント経由で社内LANへ容易に侵入されてしまうでしょう。
こうした不正アクセスからランサムウェアの拡散や機密情報の漏えいにつながってしまいます。

インターネット接続(DNS)設定の書き換え

社内LANへの不正アクセスを許した結果、インターネット接続(DNS)の設定を変更されてしまい、ユーザーの意図しない偽サイトに誘導されてしてしまうことがあります。
偽サイトにアクセスしたユーザーは機密情報を盗み取られたり、不正プログラムに感染したりするおそれがあります。

ただ乗り・なりすまし

SSID(無線アクセスポイントを識別する名前)を公開している場合、パスワード設定をしていないもしくは解読されることにより、インターネット接続を勝手に利用される「ただ乗り」が発生してしまいます。
社外からの通信量が増加することにより社内ユーザー側の通信が遅くなったり、なりすまし行為により社内の機密情報が窃取されたりするおそれがあります。

他のサイバー攻撃の踏み台にされる

無線アクセスポイントや社内LANデバイスが乗っ取られた場合、ランサムウェア配布などの踏み台にされるリスクがあります。
特に中小企業はセキュリティの脆弱性を狙われやすく、踏み台にされたうえで大手企業にDDoS攻撃や標的型攻撃を仕掛ける「サプライチェーン攻撃」に巻き込まれる可能性があります。

3.知っておきたいWi-Fiセキュリティの暗号化規格

Wi-Fi_lock

Wi-Fiのセキュリティ対策を行ううえで、通信を暗号化することは基本とされています。
暗号化することによって、通信の内容を盗聴されたとしても、第三者に情報の中身を見られることを防止できます。
暗号化の強度は採用する規格によって異なります。次に挙げる暗号化規格をおさえておきましょう。

WEP

WEPはWi-Fi暗号化の中でも最も古いセキュリティ規格です。
20年以上も前に脆弱性が確認されており、現在では使用することを推奨されていません。

WPA

WPAはWEPの改良版として誕生したセキュリティ規格です。
時間の経過とデバイスによって暗号鍵が変化する「TKIP」という方式を採用しており、WEPよりもセキュリティレベルは高いです。
しかしTKIPにも脆弱性が発見されているため、WPAの利用も推奨されていません。

WPA2

WPAをさらに改良した規格として誕生したのがWPA2です。
WPA2の場合、暗号化方式としてはTKIPのほか他に「CCMP」を選択できます。
CCMPは高い安全性を誇る暗号化アルゴリズムである「AES」を採用しており、セキュリティレベルは格段に高くなっています。
しかしWPA2においても既に脆弱性が報告されているため、利用には不安が残ります。

WPA3

WPA3はWPA2で指摘された脆弱性を解消した新しいセキュリティ規格です。
高速Wi-Fi規格である「Wi-Fi6」対応機器でサポートが進んでいます。
最新のWi-Fi6対応機器を導入することで、高速なネットワーク環境を構築できるだけでなく、セキュリティレベルを高めることもできます。

4.Wi-Fiのセキュリティ対策でやっておきたい6つのこと

Wi-Fi_security_ToDo

①安全なセキュリティ規格を利用する

古い暗号化方式のセキュリティ規格を利用するのは大変危険です。
例えば最も古いWEPを利用した場合には、誰にでも手に入るパスワード解析ツールを使って、簡単にパスワードを破れてしまいます。
基本的には最新の規格であるWPA3で通信するなど、できるかぎり安全な方式を利用することが重要です。
WPA3は無線アクセスポイントなどの親機と、PCやスマートフォンなどの子機が両方ともWPA3に対応している必要がありますので、機器の仕様を確認しましょう。

②ファームウェアを最新にする

無線アクセスポイントなどのネットワーク機器のファームウェアが更新されていないと、セキュリティホールをついたサイバー攻撃を受ける可能性が高まります。
メーカーから提供される更新プログラムは速やかに反映させるようにしましょう。機器によっては、自動でファームウェアを更新する設定ができるものもあります。
機器自体が古くファームウェアの更新がサポートされていない場合は、機器の買い替えを検討しましょう。

③SSID、暗号化キーを再設定する

SSIDと暗号化キー(パスワード)を初期設定のまま利用することは避けましょう。
無線アクセスポイントによっては、初期のSSIDと暗号化キーが機器本体に記載されているため、機器を確認すれば誰でもWi-Fiが利用できてしまいます。
暗号化キーは英大文字・小文字・数字・記号を混ぜるなどして、他から推測されにくいものに設定するようにしましょう。

④管理画面のログイン情報を変更する

無線アクセスポイントの管理画面にログインするためのIDとパスワードも変更しましょう。
初期設定時のIDとパスワードは非常に簡単なものが多く、メーカーの公式サイト上にあるマニュアルなどに記載されている場合もあります。
初期設定のままにしておくと、悪意のある第三者の不正ログインを許し、パスワードを変更され機器が乗っ取られる可能性もあります。
機器を購入したら初期設定のままで使わず、無線アクセスポイントの管理画面にアクセスして、第三者に推測されにくいIDとパスワードにログイン情報を変更しましょう。

⑤ゲスト用Wi-Fiは社内ネットワークから切り離す

社内ネットワークに接続できるWi-Fiをゲストに使用させるのは避けるべきです。
もしゲストのPCがマルウェアに感染していた場合、社内LANを経由して従業員用のPCに拡散されてしまうなんて事態も起きかねません。
大体の無線アクセスポイントはSSIDを2つに分けて、ゲスト用のWi-Fiを構築できる機能を持っています。
ゲストの来客時に「Wi-Fi貸してもらえませんか?」と聞かれた場合には、社内ネットワークから切り離されたゲスト用Wi-Fiを案内できるようにしましょう。

⑥ユーザー認証を強化する

無線アクセスポイントの認証設定を行うだけでは、企業のセキュリティ対策としては不安が残ります。
できればユーザーの接続認証を管理する役割を持つサーバー(RADIUSサーバーといいます)を立てるようにしましょう。
サーバー側で認証を行うことにより、サーバーとユーザー端末の双方で電子証明書を保持し、接続時に認証と通信の暗号化を行うことができます。盗聴・改ざん・なりすましを防ぎ、有効な証明書を持つ端末のみ社内ネットワークにアクセスできるようになります。

5.脆弱性診断でWi-Fiセキュリティ対策の第一歩を

Wi-Fi_security_asessment

以上、このコラムではWi-Fiセキュリティのリスクと対策のポイントについてご案内しました。

これからセキュリティ対策を検討したいけれど、現状のどこに問題があるのかよく分からないという方は、セキュリティサービスを提供するITベンダーの診断を受けてみてはいかがでしょうか?

Wi-Fi セキュリティ・ソリューション「WiSAS(ワイサス)」を展開するソルパックでは、Wi-Fi環境の健康診断として利用できる「Wi-Fi脆弱性診断サービス」を提供しています。

診断費用が50%オフとなるキャンペーンを2025年3月31日まで実施しておりますので、ご興味のある方は、まずは無料相談からお気軽にお問合せください。