その中の一人である『iPhone』ユーザーの方、Wi-Fi（無線LAN）が何故か意図するものに接続されないことはありませんか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Wi-Fi（無線LAN）には必ず『SSID（Service Set Identifier）』という識別子があります。

冒頭に書いたことでお悩みの方、一度『SSID』を変更してみると良いかもしれません。

iPhoneが優先するWi-FiのSSIDとは

まず、Appleのサポートページには『iOS が自動接続するワイヤレスネットワークの決定方法』として以下のように書かれています。

iOS デバイスはサービスセット識別子 (SSID) を評価し、自動接続するネットワークを判定する際、以下の順序でネットワークへの接続を試みます。

1.「よく利用する」ネットワーク

2.最近接続したプライベートネットワーク

3.プライベートネットワーク

4.公開ネットワーク

また、このようにも書かれています。

既知のネットワークは、ユーザの操作内容に応じて、「スコア」が付けられます。SSID に手動で切り替えた場合、そのスコアが上がります。手動で SSID から切断した場合、そのスコアは下がります。「よく利用する」ネットワークのスコアは高くなります。

iOS で上記の基準を評価した後も、複数のネットワークが残る場合は、SSID にセキュリティレベルに応じた優先順位が付けられ、以下の順序に従って選択されます。

1.プライベート　EAP

2.プライベート　WPA

3.プライベート　WEP

4.プライベート　セキュリティ保護されていない／公開

5.公開　HS2.0／Passpoint

6.公開　EAP

7.公開　WPA

8.公開　WEP

9.公開　セキュリティ保護されていない／公開

さて、今日お伝えしたいのはここからです。

iPhoneなどのiOSデバイスの場合、Wi-Fiが自動接続される時の優先順位として『SSIDの頭文字の昇順』というルールが存在するとされています。

これは、接続可能なWi-Fiが複数あった場合、SSIDの頭文字が『0 1 2 3 4 5 6 7 8 9 a b c d e f g h i j k l m n o p q r s t u v w x y z』の順番で自動接続されるというものです。

これを意識したのか？と思えるSSIDが使われているものとして、『0000docomo／0001docomo』や『001softbank／002softbank』、『00000JAPAN』などがあります。

このように、複数のWi-Fiが存在する環境下において意図するものに接続されない場合はSSID名を『0から始まるもの』にしてみると効果があるかもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は『Wi-Fi』に関するお話しです。

今、一般的には『WPA2』という暗号化技術が多く使われているかと思いますが、これも昨年脆弱性が発覚してしまいました。

それにより、今年（2018年）の終わりには新たな技術が提供されてくると思われます。

Wi-Fiのセキュリティが進化する

今年の夏前、Wi-Fi Allianceは『WPA2』よりセキュリティが強化された『WPA3』を発表しました。

（厳密には個人用の『WPA3-Personal』と企業用の『WPA3-Enterprise』の2つのタイプがあります。）

＜WPA3の強化ポイント＞

WPA3で強化されたものには以下のものがあります。

○　ブルートフォース攻撃に対する防御

この攻撃は、パスワードや暗号をさまざまなパターンで試す、『総当たり攻撃』と呼ばれるているものです。

これに対する防御は、仮にパスワードが破られたとしてもWi-Fi通信の暗号を解くことができないようになっているとされています。

また、企業用のWPA3には機密データ向けの防御機能も用意されているようです。

＜公衆無線LANへの新規格も登場する＞

もう1つ、SSIDやパスワードが公開されているような『公衆無線LAN』はどうなるのか？ですが、それにも新規格が登場します。

○　Wi-Fi Certified Enhanced Open

従来、公衆無線LANを使う際には『VPN』などにて通信を暗号化しないと通信を傍受されてしまう可能性がありました。

しかし、それを解消してくれる『Wi-Fi Certified Enhanced Open』という新規格も登場します。

この『Wi-Fi Certified Enhanced Open』は、中間者攻撃を回避するための『VPN』などを使わなくても通信を暗号化してくれるものです。

従って、この規格に対応した整備がなされれば知識のない人でも安全に公衆無線LANを使えるようになるという、公衆無線LANを前提とした規格となっています。

＜IoT向けもある＞

その他、IoT（モノのインターネット）向けと言えるものも登場します。

○　Wi-Fi Easy Connect

IoT向けのデバイスはディスプレイを備えていないものもあります。

そんなIoTデバイスをスマートフォンでQRコードをスキャンし、安全にネットワークに加える『Wi-Fi Easy Connect』も登場します。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、ある男性が、近所の男性が使用するWi-Fi （無線LAN）の電波を傍受し、暗号鍵を勝手に解読してインターネットに『ただ乗り』接続したとして、電波法違反などで起訴されました。

この男性、一部は確かに罪を認められたものの、一部は無罪という結果となりました。

それは何故でしょうか？

Wi-Fi（無線LAN）のただ乗りが無罪に

この男性が罪に問われたものとして、1つは暗号鍵を解読してインターネットに『ただ乗り』したもの、もう1つは『ただ乗り』したインターネット回線を使い、銀行の偽サイトに誘導するメールを企業などに送り、騙された受信者が打ち込んだIDやパスワードを使って自分の口座に数百万円を送金させたというものがありました。

この裁判での判決、後者は当然有罪となりましたが、前者に関しては無罪となりました。

現行法においてはWi-Fi（無線LAN）の『暗号鍵の解析』を禁止する法律は存在せず、Wi-Fi（無線LAN）の『暗号鍵の解析』と『ただ乗り』に関しては罪に問えなかったのです。

これ、Wi-Fi（無線LAN）が暗号鍵のないオープンなものであった場合には他者がアクセスしても違法にならないことと、電波法の通信の秘密とは、通話やメールなど具体的な通信内容のことで、通信の入り口となる暗号鍵は当てはまらない、というものが組み合わさったものでしょう。

WEPは使わずWPA/WPA2を使え

この事件のいて無断利用された時の暗号化方式は『WEP』でした。

そして、現在においてもWi-Fi（無線LAN）に暗号鍵を設定していないところは20%以上あり、古い暗号化方式である『WEP』を使っているところは15%弱も存在します。

昨今販売されているWi-Fi（無線LAN）ルータの初期値は『WPA』や『WPA2』になっていますが、選択肢としては『WEP』も残っています。

また、古いものを継続利用している場合には『WEP』のままになっていることも考えられます。

このような事件を考慮し、今一度『WPA』もしくは『WPA2』の設定になっていることを確認し、自身で安全を確保することが必要になります。

ちなみに、Wi-FI（無線LAN）に関する望ましい設定に関してはこのブログにて過去に掲載してありますので、一度探して参考にしてみて下さい。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

スマートフォンやタブレットなどのモバイルデバイスの普及とともに、Wi-Fi（無線LAN）に関しても随分普及してきました。

この簡単で便利なWi-Fi（無線LAN）は昨今オフィス内でも重宝されてはいますが、やはり有線LANと比べるとどうしてもセキュリティのリスクが高まります。

では、どのようにしてWi-Fi（無線LAN）を活用するのが良いのでしょうか？

完全に守られたセキュリティはない

どんなセキュリティ対策を施したとしても、それは100%保証された、100%守られた世界ではありません。

現に、米国国家機関であっても攻撃を受けることはあります。

セキュリティ対策は、リスクを軽減するためにできる限りのことを行うというものであって、そもそも保証された世界は存在しないのです。

Wi-Fiの安全な設定・運用

一番リスクを軽減できる方法はWi-Fi（無線LAN）を使わないことです。

ただ、それでは利便性が損なわれてしまうこともありますので、以下の設定・運用を行ってみると良いでしょう。

１．可能であればIEEE802.1x認証（デジタル証明書を用いた認証）を施す

（これは中小・零細企業にはハードルが高いかもしれません。）

２．１が難しい場合、認証方式はWPA2-PSK/WPA-PSKを採用する

（WEPは脆弱なので避ける。）

３．暗号化はAESを採用する

（TKIPよりAESの方が解読されにくいです。）

４．パスフレーズはアルファベットの大文字・小文字、数字、記号を混在させ、長めで推察されにくいものを設定する

５．ステルス機能やANY接続拒否を使い不特定のパソコンからアクセスさせない

６．MACアドレスフィルタリングを用い社内で特定されたパソコンのみからの接続とする

７．プライバシーセパレーターなどを使いデバイス間の通信を禁止にする

（セグメントを越えてプリントアウトなどしている場合は禁止にすると印刷できないので注意が必要です。）

８．ゲスト用に開放しているWi-Fiとはネットワークを切り離す

９．勝手にネットワーク構成を変更させない

（Wi-Fiルータの有線LANポートにすら勝手にケーブルをつながせない。）

１０．退職者が出た場合などはパスフレーズなどを設定し直す

これらの設定や運用を行い、できる限りリスクを軽減しておくことが重要です。