無線アクセスポイントを区別するための名前のことを「SSID」といいます。このSSIDを非通知にする方法が「SSIDステルス」機能で、この場合はSSID名を知っている人しかアクセスポイントに接続できないようになります。
■ SSIDを使って複数あるアクセスポイントを区別
無線LANを利用してクライアント端末からアクセスポイントに接続する場合、多数のアクセスポイントが存在していると「どこに接続するのが良いのか」を判断するため、アクセスポイントの区別をつける必要があります。
アクセスポイントには、任意の名前を設定することが可能で、この名前のことを「SSID(Service Set Identifier)」あるいは「ESSID(Extended Service Set Identifier)」と呼びます。SSIDは単なる名前で、これをネットワーク識別用に拡張したのがESSIDになります。ただ、現在では両者は同じ意味で扱われるようになっています。
SSIDは、アクセスポイントから定期的に発信されます。例えば、図1のように6台のアクセスポイントがある場合、各アクセスポイントは一定間隔で「私のSSIDはXXXX」という情報を発信します。これを「SSIDブロードキャスト」と呼びますが、これによってクライアントは「どんなアクセスポイントが利用できるか」を認識できるわけです。
|
図1:SSIDブロードキャスト
|
■ SSIDステルス機能でアクセスポイントの存在を見えないようにする
SSIDの通知は公衆無線LANスポットなどでアクセスポイントを探す場合には便利ですが、家庭などで使う場合には必ずしも必要とまではいきません。というのも、使用する側のユーザーは自分のアクセスポイントのSSIDを知っているわけですから、SSIDブロードキャストがなくても、SSIDを指定して接続することが可能だからです。
ただ、ほとんどのアクセスポイントは初期出荷の状態で、SSIDブロードキャスト機能が有効化されています。このため、設定をオフにしない限り、自宅に設置したアクセスポイントの存在を宅外まで通知していることになります。
論より証拠ということで、Net StumblerというツールをノートPC上で動かしながら、筆者宅の周囲を徒歩で1周してみた結果を写真1に示しました。ほとんどのアクセスポイントはWEPキーで暗号化されてますが、中には暗号化もされておらず、SSIDも見えた状態のアクセスポイントがあることがわかります。
|
写真1:Net Stumblerの結果画面
|
このうち、「FON_AP」というのはFONのアクセスポイント(関連記事)を設置しているのですから構わないのですが、“corega”や“YBBUser”というSSIDは恐らく、コレガやYahoo! BBのアクセスポイントを利用していて、かつ、暗号化によるセキュリティが施されていない状態を意味します。こうしたケースでは、悪意のあるなしに関わらず、外部から侵入するのも難しくありません。
また、WEPなどで暗号化してある場合でも、64bitのWEPでは割と簡単に破られてしまう可能性もあります(2002年当時ですら平均21.3分という話もありましたから、5年経った現在ではもっと速いでしょう)。こういったこともあり、SSIDが見えることでセキュリティ面に問題が生じる可能性があることも理解いただけるかと思います。
ではどう対策するかという話ですが、これはSSIDのブロードキャストを停止させれば良いわけです。筆者宅でも無線LANは利用していますが、写真1に筆者宅のSSIDは示されていません。これは今触れた通り、SSIDブロードキャストを停止しているからですが、要するに見えなければ侵入しようがないというわけです。
この「SSIDブロードキャストを停止する」ことを、SSIDステルス機能などと呼びます。不必要に外部から侵入されないためにも、どうしてもSSIDブロードキャストを利用する理由がない限りは、アクセスポイントの設定画面からSSIDステルス機能を有効にしておくことを強くお勧めします。
■ URL
無線LANルータ編 索引ページ
http://bb.watch.impress.co.jp/cda/koko_osa/17754.html
2007/05/21 11:00
槻ノ木 隆 国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ2年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。 |
|