自宅 Wi-Fi は「つながっている」だけでは安全ではない
自宅の Wi-Fi に接続できている。パスワードも設定してある。だから安全だと思っていませんか。実際には、初期設定のまま放置されたルーターは攻撃者にとって格好の標的です。
2023 年に NICT (情報通信研究機構) が観測したサイバー攻撃のうち、IoT 機器やルーターを狙った通信は全体の約 3 割を占めています。攻撃者はインターネット上の IP アドレスを片端からスキャンし、脆弱なルーターを自動的に発見します。IP 確認さんで表示されるあなたのグローバル IP は、ルーターの外側のアドレスそのものです。
公衆 Wi-Fi のリスクはよく語られますが、自宅 Wi-Fi のセキュリティを体系的に見直す機会は意外と少ないものです。この記事では、確認すべきポイントと具体的な強化手順を解説します。
暗号化方式の確認 - WEP/WPA/WPA2/WPA3 の違い
Wi-Fi の暗号化方式は、通信内容を第三者に傍受されないための最も基本的な防御です。現在使われている主な方式を比較します。
| 暗号化方式 | 暗号アルゴリズム | 安全性 | 備考 |
|---|---|---|---|
| WEP | RC4 | 危険 | 数分で解読可能。2004 年に非推奨化 |
| WPA (TKIP) | RC4 + TKIP | 非推奨 | WEP の応急処置。既知の脆弱性あり |
| WPA2 (AES) | AES-CCMP | 標準 | 2004 年策定。現在も広く使われている |
| WPA3 | AES-GCMP / SAE | 最良 | 2018 年策定。辞書攻撃に強い SAE ハンドシェイクを採用 |
確認方法
Windows では、タスクバーの Wi-Fi アイコンを右クリック →「プロパティ」で「セキュリティの種類」を確認できます。macOS では、Option キーを押しながら Wi-Fi アイコンをクリックすると「セキュリティ」欄に暗号化方式が表示されます。
WEP または WPA (TKIP) が表示された場合は、直ちに WPA2 (AES) 以上に変更してください。WPA3 に対応したルーターであれば WPA3 への移行が理想ですが、古いデバイスが接続できなくなる場合は WPA2/WPA3 混在モード (Transition Mode) を選択します。
ルーター管理画面のセキュリティ
ルーターの管理画面は、Wi-Fi セキュリティの「司令塔」です。ここが突破されれば、暗号化方式の変更、DNS 設定の改ざん、ファームウェアの書き換えなど、あらゆる攻撃が可能になります。
管理画面へのアクセス方法
ブラウザのアドレスバーに 192.168.1.1 または 192.168.0.1 を入力します (メーカーによって異なります)。Buffalo は 192.168.11.1、NEC Aterm は 192.168.10.1 が初期値です。ルーター本体の底面や側面にアクセス先が記載されています。
必ず変更すべき設定
- 管理者パスワード: 初期パスワード (admin/password、admin/admin など) は攻撃者のデータベースに登録済みです。12 文字以上の英数字記号を含むパスワードに変更する
- リモート管理の無効化: WAN 側 (インターネット側) からの管理画面アクセスを無効にする。これが有効だと、世界中から管理画面にアクセスを試みられる
- UPnP の無効化: UPnP (Universal Plug and Play) は、LAN 内のデバイスがルーターのポートを自動的に開放する仕組み。マルウェアに悪用されるリスクがあるため、必要がなければ無効にする
ファームウェア更新 - 見落とされがちな最重要項目
ルーターのファームウェアは、ルーター内部で動作する OS のようなものです。脆弱性が発見されるとメーカーが修正版を公開しますが、自動更新に対応していない機種では手動で適用する必要があります。
2023 年に報告された TP-Link Archer シリーズの脆弱性 (CVE-2023-1389) は、ファームウェア未更新のルーターが Mirai ボットネットに組み込まれる被害を引き起こしました。この脆弱性は修正版ファームウェアで対策済みでしたが、更新していないユーザーが被害に遭いました。
更新手順の基本
- ルーターの管理画面にログインする
- 「ファームウェア更新」「システム更新」などのメニューを探す
- 「オンライン更新」が可能な機種はボタン一つで更新できる
- 手動更新の場合は、メーカーの公式サイトから最新ファームウェアをダウンロードし、管理画面からアップロードする
更新中は絶対に電源を切らないでください。ファームウェアの書き込み中に電源が断たれると、ルーターが起動不能になる (文鎮化する) 可能性があります。
自動更新に対応した機種 (Buffalo の最新モデル、ASUS の一部機種など) を選ぶと、更新忘れのリスクを大幅に減らせます。
SSID の設定とゲストネットワーク
SSID の命名
SSID (ネットワーク名) は、Wi-Fi の電波が届く範囲にいる全員に見えます。個人を特定できる情報 (名前、部屋番号、マンション名など) を SSID に含めないでください。「Tanaka-Home」「301 号室」のような SSID は、攻撃者に物理的な位置を特定するヒントを与えます。
SSID のステルス設定 (非表示) はセキュリティ対策として無意味です。ステルス SSID でも、接続中のデバイスが発するプローブリクエストから SSID を検出できます。むしろ、一部のデバイスで接続が不安定になるデメリットがあります。
ゲストネットワークの活用
来客にメインの Wi-Fi パスワードを教えるのは避けましょう。ゲストネットワーク機能を使えば、メインネットワークとは隔離された別の Wi-Fi を提供できます。
- ゲストネットワークからはメインネットワーク上の NAS やプリンターにアクセスできない
- ゲスト用のパスワードを定期的に変更しても、メインのパスワードに影響しない
- IoT デバイス (スマートスピーカー、監視カメラなど) もゲストネットワークに隔離すると、万が一 IoT デバイスが侵害されてもメインネットワークへの被害を防げる。スマートホームのプライバシーリスクも合わせて確認しておくと、IoT 機器の安全な運用に役立つ
Wi-Fi チャンネルの設定と合わせて、ゲストネットワークのチャンネルも適切に分離すると、電波干渉を抑えつつセキュリティを強化できます。
まとめ - 自宅 Wi-Fi セキュリティのチェックリスト
自宅 Wi-Fi のセキュリティは、一度設定すれば終わりではありません。定期的な見直しが必要です。以下のチェックリストを参考に、現在の状態を確認してください。
- 暗号化方式が WPA2 (AES) 以上になっているか
- ルーターの管理者パスワードを初期値から変更したか
- リモート管理 (WAN 側アクセス) を無効にしたか
- ファームウェアが最新版に更新されているか
- SSID に個人情報が含まれていないか
- 来客用にゲストネットワークを設定しているか
- UPnP を無効にしているか (必要な場合を除く)
VPN を使って通信を暗号化することも有効ですが、VPN はあくまで通信経路の保護であり、ルーター自体の脆弱性は VPN では防げません。無料 Wi-Fi のリスクを理解している方でも、自宅ルーターの設定は見落としがちです。
Wi-Fi セキュリティを体系的に学びたい方には、Wi-Fi ルーターの関連書籍も参考になります。