Wi-Fi

WPAとWPA2って何が違う?WiFiのセキュリティって必要?

更新日:

どーもー^^ノラです。

自宅や仕事場で無線LANいわゆるWiFiを使ってる人も多いと思うけど、
WiFiを利用することの危険性についてまで認識してる人は少ないはずよ。

電波を使って通信するWiFiは傍受される危険性も高いから、
万が一傍受された時のために通信内容を暗号化することが重要なのね。

今回は、WiFiの通信内容を暗号化する方法やそれぞれの違い、WiFiのセキュリティが
いかに大事かなどについて機械関係が苦手な人も分かりやすく解説していくわね。

WiFiの通信内容を暗号化する方法

WiFiの通信内容を暗号化する方法として
 ・WEP
 ・WPA
 ・WPA2
 ・WPA3
の4種類が現在では主に使われているわ。

「WEP」が暗号化の方法としては4つの中では一番古く、現在ではWEPを
解読するツールも開発されてるからセキュリティ性能も一番低いのよ。

「WPA」はWEPの脆弱性が指摘されたことを受けて急ごしらえで作った暗号化方法で、
WEPにちょっと手を加えただけのものだからセキュリティ性能はそこまで高くないわ。

「WPA2」はWEPの脆弱性が指摘されたことを受けて本格的に作られた暗号化方法で、
WEPはもちろんWPAよりもセキュリティ性能が高くなってるわ。

現在家庭用WiFiルーターにはWPA2が採用された機種が多く、
現状ではWiFiの暗号化方法としてはWPA2が主流ね。

「WPA3」はWPA2に改良を加えたものでセキュリティ性能も高いんだけど、
実用化されたのが2018年だから、まだ家庭用WiFiルーターでWPA3を採用してる
機種は数が少ないのよ。

それに現状ではWPA3に対応した子機すなわちスマホやパソコンなども
少ないんだけど、今後はWPA2に変わってWPA3がWiFiの暗号化方法の
主流となっていくわ。

WEP

データを送る側と受け取る側がそれぞれ共通の暗号化キーを持ち、
送る側が暗号化キーを使ってデータを暗号化して受け取る側は暗号化キーを使って
データを復元する仕組みなのが「WEP」なの。

共通の暗号化キーを使って通信内容を暗号化・復元するっていうのはWPAや
WPA2でも同じなんだけど、WEPの場合はその暗号化キーに問題があるのよ。

WEPでは暗号化キーは40ビットで作られてるんだけど、
半角英数字にするとたった5文字だけなのよね。

ネットサイトやアプリにログインする際のパスワードでも半角英数字で
8文字以上だったりするから、WEPの暗号化キーがいかに簡単なものか分かるわね。

しかも通信中はずっと同じ暗号化キーを使うから、
通信を傍受しようとする側するとWEPの暗号化キーを見破ることは結構なのよ。

実際にWEPの暗号化キーを解読するためのツールも開発されてるし、
現状ではWiFiの暗号化方法としてWEPが使われてることはほとんど無いわ。

複数のSSIDがあるWiFiルーターは要注意

家庭用WiFiルーターでも、
WiFiルーターに接続する際に必要なSSIDが2~3個用意されている機種があるわ。

WiFiルーターの機種によっては、
複数あるSSIDの1つにWEPが採用されていることがあるから気を付けてね。

現状ではWEPが使われることはほとんど無いんだけど、
携帯ゲーム機など一部WEPにしか対応してない機器があったりするのよ。

だから複数のSSIDの内1つの暗号化方法をWEPにしているWiFiルーターが
今でもあるわ。

スマホやパソコンのWiFi機能をオンにすると利用可能なWiFi一覧が表示され、
SSIDを選択するとWiFiの詳細情報が表示されるの。

詳細情報の「セキュリティ」の項目にWPA2やWPA/WPA2に表示されてるSSIDは
良いけど、WEPと表示されてるSSIDは使わない方が良いわよ。

WPA

WPAもWEPと同じように、データを送る側と受け取る側が共通の暗号化キーを
持つことで、データの暗号化と復元を行う仕組みよ。

ただWEPの暗号化キーは40ビットで作られてたのに対して、
WPAでは128ビットで暗号化キーが作られてるの。

半角英数字にすると40ビットは5文字だったけど、
128ビットは13文字と2倍以上の文字数になるわ。

単純に文字数が増えれば解読に時間がかかるから、暗号化キーの文字数だけでも
WPAはWEPよりセキュリティ性能が高いってことになるのね。

さらにWPAでは、「初期化ベクター」という数値と端末に個別に割り当てられる
「MACアドレス」を暗号化キーを作るのに加えてるの。

ランダムな情報と固有の情報を組み合わせて暗号化キーを作ってるから、
文字数が多いこともあって、解読することが難しくなってるってわけ。

それだけじゃなくて、WPAでは一定時間が経過したり一定量の通信をすると、
共通の暗号化キーが作り直される仕組みなのよ。

万が一WPAの暗号化キーを解読されたとしても、一定時間が経過すると解読した
暗号化キーは使えなくなるから、よりセキュリティ性能が高いのね。

WPAとWEPは暗号化アルゴリズムが同じ

WPAはWEPに比べて暗号化キーが解読されにくいんだけど、暗号化アルゴリズム
ようするに通信データを暗号化する手順がWPAとWEPは同じなの。

WPAとWEPの暗号化アルゴリズムには「RC4」が用いられてるわ。

このRC4は、シンプルに通信データを順番通りに暗号化していき、
復元する際も順番通りに復元していくのよ。

RC4自体に特に脆弱性があるわけじゃないんだけど、
国際標準が変わったことでRC4は古い暗号化アルゴリズムになっちゃったのね。

古い暗号化アルゴリズムを使ってるWPAとWEPは一括りに「脆弱性がある」とされて、
結果的に現在ではWPAもあまり使われなくなってるってわけ。

WPA2

WEPで40ビット、WPAで128ビットだった暗号化キーが、
WPA2では256ビットで作られているわ。

半角英数字の文字数にすると15文字で、WPAの13文字から2文字増えただけ
なんだけど、これだけでもセキュリティ性能が大きく向上しているのよ。

もちろんWPA2にも、一定時間の経過や一定量の通信で暗号化キーが作り直される
仕組みが採用されてるわ。

暗号化キーの文字数が増えただけじゃなくて、
WPA2には「AES」というWPAとは違う暗号化アルゴリズムが使われているのね。

AESでは、通信データを8バイト・16バイト・32バイトのブロックに分けて暗号化する
仕組みになってるの。

この仕組みだと、暗号化キーに加えて分けられたブロックの大きさや順番が
分からないと通信データを復元できないのよね。

通信データを傍受するにはかなりの手間がかかるから、
WPA2はセキュリティ性能が非常に高いってことになるわけね。

WPA3

WPAやWPA2では、通信データとともに暗号化キーもデータを送る側と受け取る側で
やり取りしているの。

ところがWPA3では、暗号化されたデータとともに送るのは暗号化キーのハッシュ
というものだけで、暗号化キーそのものはやり取りしないのよ。

ハッシュをやり取りすることで、データを送る側と受け取る側それぞれが作った
暗号化キーが共通してるか検証するのね。

WPA3では暗号化キー自体はやり取りされないから、
傍受する側すると暗号化キーの解読が非常に困難なのよね。

半角英数字の総当たりで暗号化キーを解読しようにも、傍受する側からは
暗号化キーが一致したかどうかを判断しにくい仕組みにもなってるの。

WPA3はWPA2と比べてもセキュリティ性能が高いんだけど、
現状ではWPA3を採用したWiFiルーターが少ないのよ。

WPA3が採用されたWiFiルーターが登場し始めたのは2019年後半だから、
現状だとまだ数えるほどの機種にしかWPA3が搭載されていないわ。

それにWiFiに接続するスマホやパソコンなどの機器側もまだWPA3に対応したものが
少ないから、現状ではWiFiのセキュリティとしてWPA3を使うことは難しいのよね。

WiFiにセキュリティって必要?

「スマホやパソコンにセキュリティソフトを入れてるから、WiFiのセキュリティなんて
要らないんじゃない?」って思ってる人も居るんじゃないかしら。

スマホやパソコンにセキュリティソフトを入れてる人も多いでしょうし、
iPhoneのiOSやWindows10は基本的なセキュリティ性能が高くなってるわ。

でもセキュリティソフトやOSのセキュリティ性能って、
スマホやパソコンを外部からの侵入や外部からの攻撃から守るためのものなの。

だからセキュリティソフトやOSのセキュリティ性能では、
通信の内容までは保護してくれないのよ。

セキュリティソフトを入れてるスマホやパソコンでセキュリティ対策をしてないWiFiを
使うと、通信内容が傍受されて個人情報などを盗まれる危険性が高いわ。

セキュリティソフトやOSのセキュリティ性能に関係無く、
WiFiを使う際にはWiFiのセキュリティにも気を配らないといけないのよ。

セキュリティ対策が施されていないWiFiを利用するとこんな被害に遭う恐れも

セキュリティ対策の施されてないWiFiを利用すると
 ・自分が利用しているWiFi環境に不正に侵入される
 ・WiFiを無断で使用される
 ・通信内容を傍受される
といった恐れがあるのよ。

いくらセキュリティソフトを入れていようとOSのセキュリティ性能がしっかりしていようと、
自分が使ってるWiFi環境に不正に侵入されるとスマホやパソコンが攻撃を
受けることもあるわ。

WiFiルーターを通して侵入してくるから、
セキュリティソフトやOSのセキュリティ性能をすり抜けちゃうのよね。

結果、スマホやパソコンをロックされて身代金を要求されたり、
スマホやパソコンに保存してる個人情報を盗まれたりするのよ。

それからWiFiの無断使用は、自分のWiFiに「タダ乗り」されるだけなら
大した被害にはならないけど、犯罪行為に利用されると厄介なの。

警察が調べればどこの回線を使ったか分かるから、
WiFiにセキュリティ対策を施してなかったがために、
無関係な事件で警察の取り調べを受けるハメになっちゃうってわけ。

最後の通信内容の傍受だけど、自分では「インターネットで特別なことしてないから」
なんて思ってても、傍受する側すると他人の通信内容って宝の山なのよ。

サイトやアプリのログイン情報だったり、住所や電話番号、クレジットカード番号などの
個人情報なんかを盗まれちゃうわ。

さらにちょっと大人向けのサイトを見てたりしたら、盗んだ個人情報を使って、
個人宛に架空請求が来たりなんてことも考えられるわね。

とにかくWiFiのセキュリティが甘くて良いことなんて無いから、
少なくとも自宅で使ってるWiFiぐらいはセキュリティをしっかりしておいた方が良いわよ。

公衆WiFiの利用は要注意?

外出時にスマホやタブレットなどでインターネットを使うときに便利なのが、
コンビニなどに設置されてる「公衆WiFi」よね。

一部有料のものもあるけど、簡単な登録手続きだけで誰でも無料でWiFiが使えるから、
公衆WiFiが設置されてるコンビニやカフェなどは重宝されるわ。

ただ、無料で使える公衆WiFiにはセキュリティ対策が施されていない場合が多いの。

実際にコンビニやカフェなどに設置されてる無料の公衆WiFiには、
WPA2どころかWEPすら使われてないのよね。

だから公衆WiFiでの通信内容は一切暗号化されないから、
傍受する側すると公衆WiFiの通信内容は見放題なのよ。

通信内容が暗号化されてなければ、サイトやアプリのログイン情報、住所・氏名・
電話番号などの個人情報、さらにクレジットカード情報なんかも簡単に盗めちゃうわ。

だから公衆WiFiは使っても良いけど、使う際にはログインやクレジットカード番号の
入力が必要な通信や個人が特定できるような通信はしちゃダメよ。

悪意ある第三者は「ウォードライビング」でセキュリティが甘いWiFiを探している

他人の通信を傍受しようと考えてる悪意ある第三者は、
「ウォードライビング」って方法でセキュリティが甘いWiFiを探しまわってるわ。

元々ウォードライビングは、車などで移動しながらスマホやタブレットなどで
WiFi電波を受信して、どこでWiFiが使えるのかを確かめる行為のことよ。

でも最近ではウォードライビングでセキュリティが甘いWiFiを探して、
見つけたら不正にWiFiにアクセスしてネットワークに侵入する悪い奴も増えてるの。

WiFiルーターを置いてる場所やWiFiルーターの機種によっては、
自宅の外でもWiFiの電波がキャッチできちゃうわ。

WiFiの電波は目に見えないから自宅の外まで届いてることは分からないし、
電波が目に見えたとしても自宅から外に電波が出るのを防ぐ方法が無いのよね。

ウォードライビングで自宅のWiFiを見つけられないようにするのは難しいけど、
不正に使われないようにWiFiのセキュリティをしっかりしておくことが重要よ。

WPA2-PSKとかWPA2パーソナルって何?

スマホやパソコンなどで接続してるWiFiのセキュリティを確認すると
 ・WPA2-PSK
 ・WPA2パーソナル
って表示されることがあるわ。

WPA2の後に付いてる「PSK」とか「パーソナル」は、WiFiの認証方法を示してるの。

PSKやパーソナルは、
データを送る側と受け取る側が共通の暗号化キーを持ってるかどうかで認証してるわ。

簡単に言うと、
スマホやパソコンなどを初めてWiFiに接続する時にパスワードを入力するじゃない。

その入力したパスワードとWiFiルーターに設定されてるパスワードが一致すれば、
WiFiが使えるって感じね。

WPA2-PSKとWPA2パーソナルはどちらも暗号化キーを使って認証するから、
同じようなものと考えておいて大丈夫よ。

WPA2エンタープライズならパスワード無しで認証

WPA2にはPSKやパーソナルとは別に「エンタープライズ」ってモードがあって、
WPA2エンタープライズだとパスワード無しでWiFiが使えるわ。

PSKやパーソナルでは共通の暗号化キーで認証するんだけど、
エンタープライズは認証サーバーを使って認証するのよ。

ごくごく簡単に言うと、認証のためだけにサーバーを立てておいて、
そこにWiFiに接続するスマホやパソコンなどの情報を登録しておくの。

そしてスマホやパソコンなどでWiFiに接続しようとすると、
WiFiルーターは接続しようとするスマホやパソコンなどが
認証サーバーに登録されてるかを確認するのよ。

認証サーバーに登録されてればWiFiに接続できるし、
登録されてなければ接続できないって仕組みなのね。

パスワード無しで認証できるのは簡単で良いんだけど、
個人でサーバーを立てるのには手間もお金もかかるわ。

生半可なIT知識じゃできないし、元々が規模の大きい事業者向けのサービスだから、
個人利用のWiFiにWPA2エンタープライズを使うことはまず無いわね。

「WPA/WPA2で保護」ってどういう意味?

スマホで利用可能なWiFi一覧を見ると、
 ・WEPで保護
 ・WPA2で保護
とかって書いてあるわよね。

WEPとかWPA2なら分かるんだけど、
中に「WPA/WPA2で保護」って表示されるWiFiもあるのよ。

この「WPA/WPA2で保護」ってなってる場合は、
WiFiのセキュリティとしてWPA・WPA2のどちらも使えますよってことなのね。

WPAよりWPA2の方がセキュリティ性能が高いわけだから、
WPA2が使えるならWPAは使えなくても良いじゃんと普通は思うわ。

でもWiFiに接続する側のスマホやパソコンなどの機器がWPA2に対応してなくて、
WPAにしか対応してないケースがあるのよ。

こういった機器をWiFiに接続する場合のために、
WPA2だけじゃなくてWPAも使えるようにしてるってわけなのね。

WPA2の脆弱性「KRACKs」

よりセキュリティ性能が高いWPA3が実用化されたと言っても、
現状ではまだまだWPA2がWiFiセキュリティとしては主流よ。

そのWPA2に「KRACKs」という脆弱性が発見されてるの。

WPA2には少なくとも10種類ほど脆弱性が見つかってるんだけど、
中でも特徴的なのがKRACKsなのね。

通常WPA2では一定時間の経過や一定量の通信で暗号化キーが作り直されるわ。

ところが悪意ある第三者からWiFiが攻撃を受けることで、一定時間の経過や一定量の
通信によって暗号化キーが作り直されずに何度も同じ暗号化キーが作られるの。

これによって何種類もの暗号化キーを集め、
それらを比較・分析してWPA2の暗号化キー作成パターンを導き出しちゃうのよね。

WiFiが攻撃を受けて何度も同じ暗号化キーを作らされちゃう脆弱性のことを
「KRACKs」って言うの。

ただWiFiに攻撃を加えるにはまずWiFiに侵入しなきゃいけないから、
KRACKsを悪用しようとしてる悪意ある第三者が自宅に周辺に居る必要があるわ。

KRACKsへの対応策は?

WPA2の脆弱性であるKRACKsへの対策で重要になるのが、
スマホやパソコンなどのOSのセキュリティ性能なの。

Windowsは元々対策が施されてるみたいでKRACKsの影響を受ける可能性は低いわ。

MacOSやiOS、AndroidOSはアップデートやパッチを提供することでKRACKsへの
対応策としているの。

だからWiFiを使っててKRACKsの被害に遭わないためには、
スマホやパソコンのOSを常に最新状態に保っておくことが重要なのよ。

定期的なアップデートはもちろん、KRACKsなど脆弱性に対する緊急アップデートや
パッチの配布にも気を配ってなきゃダメね。

HTTPS化されてないサイトを使わないことも有効

WiFiを使っててKRACKsの被害に遭わないためには、
「HTTPS化」されてないサイトを極力使わないことも有効よ。

HTTPS化とはサイトとブラウザの間の通信が暗号化されることで、
万が一WiFiが攻撃を受けてもサイトとブラウザ間の通信は傍受できないから
KRACKsの被害にも遭わないってわけ。

サイトがHTTPS化されてるかは、サイトにアクセスしてブラウザの画面上部にある
アドレスバー表示されるアドレスの左側に鍵マークが表示されてるかどうかを見れば
分かるわよ。

アドレスの左側に鍵マークがあるサイトはHTTPS化されてるからKRACKsの被害に
遭う可能性は低く、鍵マークが無いサイトはKRACKsの被害に遭う恐れがあるの。

最近はHTTPS化してるサイトも増えてきてるから、
WiFi接続の時は極力HTTPS化したサイトを使った方が良いわよ。

WPA3にも脆弱性が見つかった!?

よりセキュリティ性能が高いWPA3は2018年に実用化されたばかりで、
現状では利用できるWiFiルーターも通信機器もまだ少ないわ。

にも関わらず、すでにWPA3にも脆弱性が発見されてるのよ。

厳密に言うとWPA3の脆弱性じゃなくて、
WPA2の脆弱性を利用して通信内容を傍受するって方法なの。

先に「WPA/WPA2で保護」ってなってるWiFiでは、
WPAもWPA2も両方使えるって説明したわよね。

それと同じように、WPA3に対応したスマホやパソコンなどの機器が十分に市場に
出回るまではWiFiルーターのセキュリティはWPA2とWPA3の両方に対応することに
なるわ。

悪意ある第三者は、WiFiルーターからはスマホやパソコンなどの機器に見える、
スマホやパソコンなどの機器からはWiFiルーターに見えるアクセスポイントを
不正に設置するの。

そうするとWiFiルーターやスマホなどの機器は、
間違って不正に設置されたアクセスポイントとデータをやり取りしてしまうことがあるわ。

不正に設置したアクセスポイントをWPA2のみ対応にしておけば、
WiFiルーターやスマホなどの機器はWPA2で不正アクセスポイントとデータを
やり取りすることになるのよ。

そこで悪意ある第三者は、WPA2の脆弱性であるKRACKsを悪用して通信内容を
傍受して個人情報などを盗むってわけね。

ダウングレード攻撃へはすでに対策済み

WPA2とWPA3の両方に対応してWiFiのWPA2を狙うのをダウングレード攻撃って
言うんだけど、このダウングレード攻撃への対応はすでに行われてるわ。

ダウングレード攻撃に対応したセキュリティパッチが提供されてるから、
これから発売されるWPA3対応のWiFiルーターやスマホなどの機器は
ダウングレード攻撃を受ける可能性が低いわね。

ただWPA3がWiFiセキュリティとして一般的になると、
また別の脆弱性が発見されないとも限らないわ。

だから今後WPA3に対応したWiFiルーターを使う際には、WPA3の脆弱性に関する
ニュースをキャッチできるようにアンテナを張っておかなきゃダメよ。

まとめ

WPA3が定着するまでにはもう少し時間がかかりそうだから、
現状のWiFiセキュリティとしてはWPA2が一番セキュリティ性能が高いわ。

ただWPA2にもKRACKsを筆頭に10種類ほどの脆弱性が見つかってるから、
100%安心安全ってわけでもないのよ。

WiFiを安全に使うためには、まずWiFiセキュリティがWPA2であることに加えて
スマホやパソコンなどのOSが最新バージョンであることも重要よ。

加えて極力HTTPS化したサイトしか使わないようすれば、安全性がさらに高まるわ。

-Wi-Fi

Copyright© インターネットのお話 , 2020 All Rights Reserved.