WPS を無効にしている限り、強力なパスワードを使用した WPA2 は安全です。このアドバイスは、ウェブ全体で Wi-Fi を保護するためのガイド に記載されています。 Wi-Fi 保護セットアップは良いアイデアですが、それを使用するのは間違いです。
ルーターはおそらく WPS をサポートしており、デフォルトで有効になっている可能性があります。 UPnP と同様、これはワイヤレス ネットワークを攻撃に対して脆弱にする安全ではない機能です。
Wi-Fi 保護セットアップとは何ですか?
ほとんどのホーム ユーザーは、WPA2-PSK とも呼ばれる WPA2-Personal を使用する必要があります。 「PSK」は「事前共有キー」の略です。ルーターにワイヤレス パスフレーズを設定し、WI-Fi ネットワークに接続する各デバイスに同じパスフレーズを指定します。これにより、基本的に、Wi-Fi ネットワークを不正アクセスから保護するパスワードが得られます。ルーターはパスフレーズから暗号化キーを取得し、そのキーを使用してワイヤレス ネットワーク トラフィックを暗号化し、キーを持たない人がトラフィックを盗聴できないようにします。
新しいデバイスを接続するたびにパスフレーズを入力する必要があるため、これは少し不便かもしれません。 Wi-FI Protected Setup (WPS) は、この問題を解決するために作成されました。 WPS が有効になっているルーターに接続すると、Wi-Fi パスフレーズを入力するよりも簡単な方法で接続できることを示すメッセージが表示されます。
Wi-Fi で保護されたセットアップが安全でない理由
Wi-Fi で保護されたセットアップを実装するには、いくつかの方法があります。
PIN : ルーターには 8 桁の PIN があり、接続するにはデバイスに入力する必要があります。ルーターは 8 桁の PIN 全体を一度にチェックするのではなく、最初の 4 桁を最後の 4 桁とは別にチェックします。これにより、WPS PIN はさまざまな組み合わせを推測する 「総当たり」 が非常に簡単になります。考えられる 4 桁のコードは 11,000 個しかなく、ブルート フォース ソフトウェアが最初の 4 桁を正しく取得すると、攻撃者は残りの桁に進むことができます。多くの消費者向けルーターは、間違った WPS PIN が提供されてもタイムアウトしないため、攻撃者は何度も推測することができます。 WPS PIN は、総当たり攻撃で約 1 日で発行される可能性があります。 [ 出典 ] 「Reaver」という名前のソフトウェアを使用すると、誰でも WPS PIN を解読できます。
プッシュボタン接続 : PIN またはパスフレーズを入力する代わりに、接続を試行した後にルーターの物理ボタンを押すだけです。 (このボタンは、セットアップ画面のソフトウェア ボタンである場合もあります。) ボタンが押された後、または 1 台のデバイスが接続された後、数分間のみデバイスがこの方法で接続できるため、これはより安全です。 WPS PIN のように、常にアクティブになって悪用できるわけではありません。プッシュボタン接続はほぼ安全であるように見えますが、唯一の脆弱性は、ルーターに物理的にアクセスできる人なら誰でも、Wi-Fi パスフレーズを知らなくてもボタンを押して接続できることです。
PINは必須です
プッシュボタン接続は間違いなく安全ですが、PIN 認証方法は、すべての認定 WPS デバイスがサポートする必要がある必須のベースライン方法です。そうです。WPS 仕様では、デバイスは最も安全性の低い認証方法を実装する必要があります。
WPS 仕様では PIN を確認する安全でない方法が求められているため、ルーターのメーカーはこのセキュリティ問題を解決できません。仕様に準拠して Wi-FI Protected Setup を実装しているデバイスは脆弱になります。仕様自体がダメなんです。
WPSを無効にできますか?
ルーターにはさまざまな種類があります。
- 一部のルーターでは WPS を無効にすることができず、設定インターフェイスに無効にするためのオプションがありません。
- 一部のルーターには WPS を無効にするオプションが用意されていますが、このオプションでは何も起こらず、WPS は知らないうちに有効になったままになります。 2012 年に、この欠陥は「テストされたすべての Linksys および Cisco Valet ワイヤレス アクセス ポイント」で発見されました。 [ ソース ]
- ルーターによっては、WPS を無効または有効にすることができ、認証方法の選択肢がありません。
- 一部のルーターでは、プッシュボタン認証を使用しながら、PIN ベースの WPS 認証を無効にすることができます。
- 一部のルーターは WPS をまったくサポートしていません。おそらくこれらが最も安全です。
WPSを無効にする方法
ルーターで WPS を無効にできる場合は、Web ベースの設定インターフェイスの Wi-FI Protected Setup または WPS の下にこのオプションが表示される可能性があります。
少なくとも PIN ベースの認証オプションを無効にする必要があります。多くのデバイスでは、WPS を有効にするか無効にするかしか選択できません。 WPS を無効にすることが唯一の選択肢である場合は、無効にすることを選択してください。
たとえ PIN オプションが無効になっているように見えても、WPS を有効のままにしておくのは少し心配です。 WPS や UPnP などの他の安全でない機能 に関してルーター メーカーのひどい実績を考えると、一部の WPS 実装では、PIN ベースの認証が無効になっているように見えても引き続き利用できるようになる可能性はありませんか?
確かに、PIN ベースの認証が無効になっている限り、理論的には WPS を有効にしても安全ですが、なぜリスクを冒すのでしょうか? WPS が実際に行うことは、より簡単に Wi-Fi に接続できるようにすることだけです。覚えやすいパスフレーズを作成すれば、同じくらい速く接続できるはずです。そして、これは初回のみの問題です。一度デバイスを接続したら、再度接続する必要はありません。 WPS は、このような小さな利点を提供する機能としては非常に危険です。
画像クレジット: Flickr の Jeff Keyzer
