清水理史の「イニシャルB」
Wi-Fiルーターの「見直し」ついでにココも要チェック! 不要になっても放置されがちな設定項目
DMZ、ポートフォワード、VPNサーバー、UPnPなど…
2024年11月18日 06:00
先週の「Wi-Fiルーター見直しの日」に合わせて、「設定画面くらい見ておくか……」と思っている人も多いことだろう。
そんな人は、ファームウェアやパスワードだけでなく、ぜひ一緒にポートフォワードやDMZなどの設定も確認して欲しい。過去に有効化されたまま放置されている不要な設定を無効化して、安心、快適にWi-Fiルーターを使えるようにしておこう。
以降で紹介する機能は、全てのWi-Fiルーターが搭載しているわけではない。また、多くの製品では初期状態だと無効化されているはずだ。過去に設定を変更した覚えがある場合は、この機会に確認しておいてほしい。できれば、取扱説明書を見返しながら、機能の有無や現在の設定を確認しておくとといいだろう。
開けっ放しのマルチプレイゲーム用「ポートフォワード」設定
過去にゲームの対戦プレイや協力プレイのために、Wi-Fiルーターの設定を変更した記憶がある……。
心当たりがある人は、パスワード変更やファームアップデートのついでに、Wi-Fiルーターのポートフォワードの設定も確認しておこう。
ポートフォワードは、インターネットから届いた特定のポート宛ての通信をLAN側の指定した端末へと転送する機能だ。この機能が有効になっており、かつ指定したIPアドレスの端末がネットワーク上でアクティブな場合、インターネットから設定されたポート宛ての通信が届くようになる。
ゲームのポートであれば直接的な被害につながる危険は低いが、外部から開いているポートを確認するためのポートスキャンが実施されたときに特定のポートに反応があると、攻撃可能な対象としてリストに登録され、外部からアクセスが頻繁訪れるようになる。
もちろん、遠隔操作用のリモートデスクトップ(3389)やSSH(22)などのポートの設定が残ったままになっていると、直接的に攻撃される可能性が高いので、すぐに設定を削除しておくことをおすすめする。
設定方法は機種によって異なるが、例えば、TP-LinkのWi-Fiルーターであれば、[詳細設定]から[NAT転送]の[ポート転送]で、ポートフォワードの設定を確認できる。TP-Linkの場合、設定単位で有効/無効を切り替えることができるので、要不要の判断に困ったら、とりあえず全部無効にしておき、必要になったときに再びオンにするのも手だ。
同様の設定としては[ポートトリガー]という項目もある。これは、LAN内部から特定の通信があった場合に、それに関連するポートを開けるというものだ。かつてゲームで使われたこともあった機能なので、こちらも不要な設定が残っている場合はオフにするか削除しておこう。
事実上、外部にさらされてしまう「DMZ」
上記のポートフォワードの設定に似ているが、危険度がより上がるのがDMZの設定だ。
そもそもDMZは「De-Militarized Zone」の略で「非武装地帯」と訳される機能であり、事実上、インターネット上に端末が公開される設定となる。ポートフォワードは特定のポートのみ転送するが、DMZでは、外部から届いたすべてのポート宛ての通信が特定の端末へと転送される。
ポート番号を調べるのが面倒とか、複数ポートの設定が必要で手間がかかるとか、とにかくわからないとか、過去に「DMZなら何とかなる」という安易な選択をしてしまった場合、DMZの設定が有効になっている可能性がある。
DMZに登録された端末は、外部からの攻撃にさらされる可能性が非常に高い。PCであればOSのファイアウォール機能で防げる可能性もあるが、おそらく悪意のある第三者は「可能性あり」の端末として執拗に攻撃してくる可能性がある。
TP-LinkのWi-Fiルーターの場合、[詳細設定]の[NAT転送]にある[DMZ]で設定を確認できるので、有効になっている場合は、無効化しておくことを強くお勧めする。
来客向けに設定したものの使ってない「ゲストWi-Fi」
Wi-Fi関連では、不要なゲストWi-Fiは無効にしておくことをおすすめする。
オフィスなどであれば話は別だが、家庭では来客の頻度はさほど高くなく、しかもWi-Fiを提供する機会もそう多くはない。せいぜい、友人や子どもが集まったときに、みんなのゲーム機をつないで一緒にプレイするようなときくらいだろう。
そのためだけに、365日、24時間、ゲスト用のSSIDを周囲に広告する必要はない。
また、ゲスト用Wi-Fiは[セキュリティなし]に設定できる場合があり、一時的な提供のつもりでセキュリティなしで設定し、そのまま放置されたままになっているケースも考えられる。
ゲスト用Wi-Fiは、スマートフォンやPCのWi-Fi接続画面からも「XXXX_Guest」のようなSSIDで確認できるので、普段から気になっているSSIDがある場合は自宅のWi-Fiルーターの設定を確認しておくべきだ。
TP-LinkのWi-Fiルーターの場合であれば、[ワイヤレス]の設定画面をスクロールすると[ゲストネットワーク]という項目が表示される。もしも、[セキュリティ]設定で[セキュリティなし]が選択されている場合は、すぐに[WPA2/WPA3-パーソナル]に変更して複雑なパスワードを設定しておこう。
滅多に来客がないというのであれば、[有効]のチェックマークを外して、無効化しておくことをおすすめする。
使用頻度が低い「VPNサーバー」や「ダイナミックDNS」もオフに
VPNサーバー機能を搭載したWi-Fiルーターを利用している場合は、VPNサーバー機能も見直しておこう。
VPN機能は、外出時でも自宅のリソース(NASなど)にアクセスするときなどに使う機能だ。もちろん、日常的に使っているという人もいるかもしれないが、一般的には「いざ」というときの保険的な位置づけの機能となる。
このため、例えば、この1年間使っていないとか、利用頻度が低いならば思い切って無効にしておいた方がいい。TP-Link製品であれば、[詳細設定]の[VPNサーバー]から設定を変更できる。
なお、VPNサーバー機能は、外部からの接続先を指定するためにダイナミックDNS機能が一緒に利用されるため、無効にする場合は、忘れずにダイナミックDNS機能も無効化しておこう([詳細設定]の[ネットワーク]にある[動的DNS])。外部からホスト名で攻撃される対象として認識されやすい。
どうしてもVPNサーバー機能を使いたい場合は、接続方式をよく検討しよう。製品によっては、安全とは言えない方式(PPTP)が利用されるケースもある。PPTPに関しては、iPhoneシリーズでサポートが終了するなど、使われなくなってきているので、わざわざ選択する意味はないだろう。
他の方式を選択する場合でも、認証をユーザーIDとパスワードのみで設定するのは避け、可能な場合は証明書を使った認証方式を選択すべきだ。
無効化が増えつつある「UPnP」
UPnPは、前述したポートフォワードの操作を動的に実行できる機能だ。LAN内のアプリケーションからの要求によって、必要なポートを、通知された端末に対して通過させるように自動的に設定できる。
最近ではIPv6環境やゲームで活用しようという考え方もあり、過去に話題になったセキュリティ上の脆弱性の対策(WAN側での無効化やデバイス認証、設定画面の保護)への取り組みも行われている。
その一方で、セキュリティ上のリスクを考えて、Wi-Fiルーターでは標準で無効化されることも増えてきた。また、アプリ側でもNAT越えを実現するための複数の方式をサポートし、UPnPがなくても通信を可能にする工夫がなされている。
このため、使わないのであればUPnPは無効化するという考えが一般的になりつつある。TP-Link製品の場合、[詳細設定]の[NAT転送]にある[UPnP]で設定を確認できる。標準で有効になっており、UPnPでポートの開閉を制御しているアプリがあれば、[UPnPクライアントリスト]に一覧表示される。
家庭内の端末の利用状況によって何度か確認し、ここでUPnPを使っているクライアントがないようであれば、機能自体をオフにしてしまうといいだろう。
再起動も忘れずに
以上、Wi-Fiルーター見直しの日に伴って、忘れがちな設定の見直しを提案した。家族の誰かが知らないうちに設定している場合もあるので、一度、確認しておくことをおすすめする。
なお、確認したら、ついで再起動しておくこともおすすめする。Wi-Fiルーターに感染するマルウェアはメモリ上に潜んでいるため、再起動するだけでも効果がある。
再起動によって、前述したUPnPやVPNサーバーなどの無効にしたプログラムのリソースも解放され、若干だが、Wi-Fiルーターの負荷が減ることも期待できるだろう。
製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるWindows 11」ほか多数の著書がある。