最近人気の AP はどの程度安全なのか
※本調査は 2016 年の夏に実施したものです^^
~~~~~~~~~~~~~~~~~~~~~~
みなさんもご家庭で無線LANの環境を整えているとは思うのですが、量販店等で売っている AP は初期状態でどの程度、安心、安全なのかを調べてみました。今回調査の対象としたのは、Amazon や 価格.com の売れ筋を確認し、以下の 2 つ。
- Baffalo : WHR-1166DHP
- Aterm(NEC) : PA-WF1200HP
提言については、後半に記載しますが、簡単に言うと、Aterm さんは Baffalo さんに比べて多機能で好印象。ただ、WEP がユーザも気づかない状態で使える状態になっているのは今すぐ止めた方が良い。
では、引き続き。
今回は箱出し状態からの初期設定のみとして、その状態で利用することを念頭にしています。
// それぞれのラベルに印刷されている情報
// 設定をひたすらスクショした図 (涙ぐましい努力)
| ラベルからの気づき |
・SSID にメーカ名あり ・PSK はアルファベット小文字 13 文字(26^13)
「War Driving での気軽な調査をしてみた記録 - waraiotok0’s note」と照らし合わせてみると、実ユーザもそのまま使ってる模様。
GとAは近いMACを持つので、「MACアドレスを含むSSIDのリスク - waraiotok0’s note 」の問題はあるかもしれないが( Baffalo の AP は SSID の書式を変更したのか、という気づきも)、SSID のみからMAC の全体を把握するのは難しいので、ラベルのスクショを公開した程度では大丈夫そう。
|
・SSID にメーカー名あり ・PSK は以下の記述あり(16^13)
同じく War Driving の結果と照らし合わせてみると、やはりそのまま使っている。
一方で「g に w」がついた WEP が多く確認されている。 これは何?(後述) |
| 管理画面 |
初期値は安定の admin/admin
|
初期 PW はなく、初回アクセス時に決める必要がある。ただ、長さなどに制限がない。お
|
| 無線LANの設定 |
初期設定は WPA2-PSK の AES なので、望ましい状態。ANY接続は許可、つまり SSID のステルスは利用していない。 (このままでよい)
WEPは初期設定では OFF になっている。前述の War Driving の結果とも整合性がある。
|
初期設定は WPA/WPA2-PSK の AES なので、望ましい状態。SSID ステルス機能はは利用していない。 (このままでよい)
ところで War Driving の結果で出てきた「gw」は何者か? ドロップダウンを確認したら、、、 いた。
ラベルにも記載がないステルスモードで動いている WEP という、誰得?な隠し設定。 一応、NW分離とセパレータが ON で固定とはいえ、、、。 ユーザが気づかないところで。 さらに、この情報は状態一覧(サマリ)にも記載がないのは、、、 よろしくない。 ということで、WEPのパスフレーズの解析を行ってみた。(結果は本スレ後半で) |
| ゲスト用SSID | 特になし |
ラベルには記載があるが初期設定では OFF。 ON にした場合、NW分離とセパレータが初期値で ON となるようになっている。
|
| NW分離 |
隔離機能は初期設定では OFF (「無線LANの設定」のスクショ参照) つまり、異なる SSID 間での通信が許可されている。 |
ネットワーク分離機能は初期設定では OFF (「無線LANの設定」のスクショ参照) つまり、異なる SSID 間での通信が許可されている。 |
| セパレータ |
初期値は OFF、つまり無線機器同士の東西通信は可能。
|
SSID内分離は初期設定では OFF (「無線LANの設定」のスクショ参照) つまり無線機器同士の東西通信は可能。 |
| WPS 他 |
WPS は初期値で ON (初期の PIN はラベルにも記載あり)
AOSS も初期値で ON
|
WPS は初期値で ON (初期の PIN はラベルにも記載あり)
らくらく無線スタートも初期値で ON (っぽい、ON/OFF の設定どこ、、、)
|
| MACによるACL |
初期値は OFF MAC の接続制限は悪意あるユーザには意味がないので、これで問題なし。
|
初期値は OFF (「無線LANの設定」のスクショ参照) MAC の接続制限は悪意あるユーザには意味がないので、これで問題なし。 |
| ファイアウォール |
ファイアウォール機能
IPフィルター
VPNパススルー
|
パケットフィルタ機能
|
|
その他のセキュリティ設定 |
特になし |
ちょっとした機能が実装済み。
ファミリースマイル設定 (追加費用で利用可能なコンテンツフィルタ機能) https://121ware.com/product/atermstation/special/siteblock/fs/
|
| FirmWare |
更新は手動が初期設定、ぜひ初期は自動更新にして頂きたい。
|
更新は手動が初期設定、自動化にしたいですね、やはり。 あと、時間の指定ができるのが好印象。
|
|
番外編: PSKが、、、 |
PSKがサマリにそのまま書いてある。設定画面では伏せ文字(●●●●●●)なのに。 例えば、ゲストに PSK を隠しつつ設定をしたとして、管理画面に admin/admin で ログインしてしまえば、PSK が見えちゃうことになる。
|
伏字にした方が良いと思うが、、、(「無線LANの設定」のスクショ参照) 一般ユーザの利用を考えた場合は、見えた方が良いのか? (セキュリティとUXのバランスとは) いや、でも SOHO や店舗利用もあるし、やっぱり伏せた方が良いかと。 |
Aterm のAP でひっそり ON になっているステルスSSIDのWEPですが、一定の時間で PSK の解析は可能でした。SSID のステルス化は、悪意のあるユーザにはほぼ無意味。画面にあるようにすぐに ESSID は判明し、すでに利用中の端末がいる場合は、その通信から一定の IV を稼ぐことができれば OK 。
ただ、この WEP ですが、ユーザ自身も ON になっていることを認識していない可能性が高く、利用していない可能性が高いような気がします。つまり、PSK の解析のための IV を稼ぐためには自分で頑張る必要がある。とはいえ、ちょっと頑張れば IV を一定量確保できるので、現実的なレベルで時間を使えば踏み台としては使えることになる。
実際には利用されていない可能性も高いが、設置者が気づき難いのにリスクだけある、という点で、Aterm の初期設定は見直されることが望ましいと感じる。
感想と提言
- SSID 可能ならばランダムであるとよいが、一意にするため MAC アドレスにするのはリスクがあるので、UXを考えると現状の程度がバランスが良いと言えそう。
- PSK はあまりに複雑にするとユーザが簡単なものに変えてしまう恐れがあるのが、小文字 + 数字(で 13 文字以上)がバランスがよさそう。
- 管理コンソールのパスワードは、Aterm の実装が望ましい。一方で、パスワードには一定の制限(長さと種類)を設けるとさらに良い。
- WEP に関しては、初期状態では OFF にすべき、特に Aterm の実装は見直した方が良い。War Driving の結果から、実際に気付かずに WEP が使える状態の環境が多そう。
- NW分離やセパレータについては、初期状態で納得感がある(ゲスト用や WEP を使うときには、初期状態が ON になっている点等)
- WPS やその他の自動接続設定は、セキュリティリスクを考えると必要な時にだけ ON すべき(APに物理的にアクセスできると誰でも使える)。 が、一般向けだとやはり初期値 OFF は難しいか(UXの悪化)。
- 全体的にネットワークに接続済みの端末(の利用者)には悪意がない、といった実装になっているので、そこは実装を見直すべき。
