自宅Wi-Fiの“わからない”をスッキリ!

第16回

Wi-Fiの暗号化方式・暗号化キーについて少し勉強しておきたいこと

「自宅Wi-Fiの“わからない”をスッキリ!」連載記事一覧

 前回は、Wi-Fiルーターを区別する名前の役割をするSSIDを設定する際の注意点について解説した。今回は、同時に設定することになる暗号化の方式やキーについて解説してみたい。前回に引き続き、少しの時間お勉強しよう。設定の実践は次回からだ。

 暗号化キーの呼び名はモデルによって、「Wi-Fiパスワード」や「パスフレーズ」、「セキュリティキー」、「事前共有キー」、単に「パスワード」と書かれているなどまちまち。用途としてはみな同じでSSIDに対するパスワードを設定するような使い方になるのは、ご存じのとおりだ。子機側からは、特定のSSIDに対してこの暗号化キーを入力すればWi-Fiへの接続が完了する。

バッファローのWi-Fiルーターでの無線関連の設定画面例。暗号化方式とキー関連の設定があるのがわかる

 実際の設定では、Wi-Fiルーターに暗号を解読するための鍵(パスフレーズ)を設定している仕組みになっている[*1]。そのため、使い方を見るとパスワードのようなのだが、キーという名前で呼ばれているのだ。さらに選択する暗号化方式は、暗号化に使われる技術(アルゴリズム)と接続時に使われる認証する方式で呼び名が異なることが、設定時に混乱をまねく元になっている。下表の赤い部分を設定すると覚えてしまえば簡単だ。

 この暗号化方式を設定した上で、キーの文字列を設定して使うワケだ。

暗号化方式の詳細と推奨設定

[*1]……後述するWPA2-PSKでは、設定した事前共有キーをそのまま使わずに、16進数で64桁のハッシュ関数を使った暗号化キーを生成し、これを元に暗号化をする。さらにこのキーは設定した間隔で変更される。なんだかややこしいが、事前共有キーは便宜上設定して決めておくキーで、実際に使われるキーは異なり、かつ定期的に変更されることで、一定時間データを読み出してのハッキングに対して強くしているのだ。

 暗号化の技術は「AES」[*2]が標準で、これより古い形式として「TKIP」と「WEP」が存在する。さらに、この暗号化の技術を使った認証方式として「WPA2」[*3]があり、古い「WPA」、「WEP」も存在するといった具合に、互換性のため古い技術の選択肢は多いのだが、現状で選択するのは「AES」を使った「WPA2」とだけ覚えておけばOKだ。現在のスマホやPCは、すべてこれに対応している。

[*2]……無線LANとしてはCCMPというAESが元になったプロトコルが使われているのだが、一般的にAESの名前が使われていて、設定画面にはAESと出てくることが多い。もしCCMPと表示されたらそれを選ぼう。「CCMP(AES)」などと書かれることもある。

[*3]……このWPA2とWPAは、「WPA2-PSK」と「WPA-PSK」と書かれていることもあるが、家庭向け製品では同じことだ。実はWPA2(WPA)には、家庭用(パーソナル)とオフィス用(エンタープライズ)があり、PSK(Pre-Shared Key)とは家庭用に作られた方式を厳密に表記している。事前共有キーとはこの方式でのキーを意味している。macOSやiOS、Windowsでは「WPA2パーソナル」と表記されている。

 注意点だが、この暗号化方式の中でWEPだけは【絶対に】使用しないように注意したい。クラックツールを使い、ものの数分で簡単にキーが破られてしまうからだ。WPA2(WPA)でTKIPを使うのもWEPがベースになっているので同様に避ける。

 数年前までは、このWEP暗号化がニンテンドーDSとDS Liteにて利用するために、サブ用に使うセカンダリSSIDなどで、あらかじめ設定されたりしていた。ゲーム機側がWEPでの接続しかサポートしていなかったので致し方なかったのだが、現在こういった古い機器向けにWEPを常用するのはとてもキケンだ[*4]。現在では初期状態でセカンダリSSIDがオンになっていて、WEPが設定されているケースは少ないと思うが、念のため注意しておきたい。

 また、Wi-Fiルーター製品によっては、WPA2とWPA、AESとTKIPの組み合わせを、子機側の対応状況に合わせて自動で決めるオートモードを持っている(ボタンプッシュ接続で自動選択されることが多い)。便利そうではあるが、意図せずにTKIP接続を許してしまうことのないように、オートではなくWPA2とAESの組み合わせで使うように強制的に手動設定するのがベストだ。

[*4]……ニンテンドーDS向けのインターネット通信サービスは2014年に終了している。ちなみに、ニンテンドー3DSではWPA2に対応している。また、Nintendo Switchは、WPA2(AES)に対応していて、TKIPを使ったWPA/WPA2とSSIDがステルスの設定、「AOSS」や「らくらく無線スタート」には対応していない点には注意。

 暗号化に関しては、PCの性能向上もあって、残念ながらハッキングとイタチごっことなっている。WPA2もすでに脆弱性が報告(子機側がこの脆弱性の対策をしていれば問題ない)され、2018年後半からは「WPA3」が使われ始める予定になっている。WPA3では、CNSA(Commercial National Security Algorithm)という暗号化が採用されることになっていて、WPA2と相互運用ができる仕組みになる。このあたりの技術進歩には、時流に合わせてアップグレードする心がけが必要となる。

 さて、SSIDと暗号化については基本を勉強したので、次回は実際に設定してみよう。設定の項目が、なんの目的なのかがよくわかるはずだ。

今回の教訓(ポイント)

暗号化方式の選択は、必ず現状最強の「WPA2(AES)」を選ぶ
WEPの暗号化方式は使わないようにする。WEPのセカンダリSSIDが動作していないかに注意。

「自宅Wi-Fiの“わからない”をスッキリ!」連載記事一覧

村上 俊一

1965年生まれ。明治大学文学部卒。カメラマン、アメリカ放浪生活、コンピューター雑誌編集者を経て、1995年からIT系フリーライターとして活動。写真編集、音楽制作、DTP、インターネット&ネットワーク活用、無線LAN、スマホ、デジタルガジェット系など、デジタル関連の書籍や雑誌、ウェブ媒体などに多数執筆。楽曲制作、旅行、建築鑑賞、無線、バイク、オープンカー好き。