「社員が自由にWi-Fiに繋いでいるけど、セキュリティ的に大丈夫なのかな……」
「来客にWi-Fiパスワードを教えるたびに、変更するのも面倒で放置している」
こういった状況、情シスを担当していると一度は経験があるのではないでしょうか。
Wi-Fiは「見えないケーブル」と考える人もいますが、電波である以上、物理的な壁を越えて届きます。近隣のビルや駐車場からでも、適切な機材があれば攻撃者はあなたの企業ネットワークをターゲットにできます。
この記事では、企業Wi-Fiに潜むリスクと、現場で実践できる具体的なセキュリティ対策を解説します。WPA3や802.1Xが「よく聞くけど何をすればいいかわからない」という方に向けて、順を追って整理しました。
企業Wi-Fiが攻撃者に狙われる理由
Wi-Fiは「電波が届く範囲なら誰でも接続を試みられる」という特性上、有線LAN以上に攻撃の入り口になりやすい媒体です。攻撃者が企業Wi-Fiを狙う主な動機は次のとおりです。
・内部ネットワークへの侵入口: 一度Wi-Fiに接続できれば、業務サーバーや共有フォルダへの横展開(ラテラルムーブメント)が容易になります。
・通信の盗聴: 暗号化が不十分なWi-Fiでは、HTTP通信やメール内容が平文で傍受される可能性があります。
・端末へのマルウェア配布: ARP詐称(ARPスプーフィング)などを通じて、接続ユーザーへマルウェアを送り込む踏み台にされるケースがあります。
IPAの調査でも、中小企業のセキュリティインシデントの侵入口として「Wi-Fiの設定不備」が繰り返し報告されています。もはや大企業だけの話ではありません。
Wi-Fi暗号化規格の違いを知る
まず、Wi-Fiのセキュリティ規格の変遷を整理しておきましょう。現在どの規格を使っているかによって、リスクの度合いが大きく変わります。
| 規格 | 暗号化方式 | 現在の評価 |
|---|---|---|
| WEP | RC4(脆弱) | 即廃止。数分で解読可能 |
| WPA | TKIP(改良版RC4) | 使用禁止推奨。2012年に廃止勧告 |
| WPA2-Personal | AES-CCMP | 現在の主流だが、弱いパスワードはクラッキングリスクあり |
| WPA2-Enterprise | AES-CCMP + 802.1X認証 | 企業向けの現実的な選択肢 |
| WPA3-Personal | SAE(辞書攻撃に強い) | 推奨。オフラインクラッキングへの耐性が大幅に向上 |
| WPA3-Enterprise | AES-256-GCMP + SAE | 最高水準。金融・医療などの機密環境向け |
WPA3が強い理由
WPA2-Personalの弱点は、接続時のハンドシェイク(4-way handshake)をキャプチャすることで、オフラインでのパスワードクラッキングが可能だった点です。攻撃者はパスワードを知らなくても、ハンドシェイクさえ取得できれば後からGPUを使った総当たりで解読できました。
WPA3が採用したSAE(Simultaneous Authentication of Equals)は、このオフラインクラッキングを構造的に防ぎます。たとえ複雑でないパスワードでも、ハンドシェイクのキャプチャからの解読が大幅に困難になります。2018年に発見されたPMKID攻撃への対策としても有効です。
802.1X認証とは
WPA2/WPA3-Enterpriseで使われる802.1X(はちまるにてん1エックス)とは、「接続前に個人を認証する」仕組みです。
通常のWi-FiはSSIDとパスワードを知っていれば誰でも繋がれますが、802.1Xでは社員一人ひとりの証明書やIDを使って認証します。退職者が出ても、そのアカウントを無効化するだけで即座に接続できなくなります。認証処理はRADIUSサーバー(認証専用サーバー)が担います。
攻撃者がWi-Fiをどう悪用するか
防御を考える前に、攻撃者の手口を知っておくことが重要です。「正しく知って正しく備える」のがセキュリティの本質です。
1. Evil Twin攻撃(不正アクセスポイント)
攻撃者が本物のWi-Fiと同じSSIDを持つ偽のアクセスポイントを設置し、ユーザーを騙して接続させる手法です。たとえば「Office-WiFi」というSSIDの偽APを立てると、電波強度次第では正規のAPより優先的に接続されることがあります。
接続したユーザーのHTTP通信はすべて攻撃者に傍受でき、認証情報の窃取が行われます。電波は壁を通過するため、ビルの外や駐車場から実行されると物理的な監視での検知が難しいのが厄介です。
2. パスワードクラッキング(PMKID攻撃)
2018年に発見された手法で、WPA2-Personalのハンドシェイクを待たなくてもアクセスポイントからPMKID(Pairwise Master Key Identifier)を取得し、オフラインでパスワードをクラッキングできます。複雑でないパスワードなら数時間〜数日で解読されます。会社名・設立年・電話番号の一部を組み合わせたパスワードが突破された事例が多く報告されています。
3. 接続後のARPスプーフィング
同じWi-Fiに接続できたあと、ARPスプーフィングという手法でルーターとユーザー端末の間に割り込み、通信を中継する攻撃です。これが成功すると、暗号化されていないHTTP通信や、SSLストリッピングによってHTTPS通信の内容まで盗聴される可能性があります。ゲストWi-Fiに「クライアント分離」が設定されていない場合、同じネットワーク内の端末同士が攻撃対象になります。
具体的な防御手順
1. WPA3またはWPA2-Enterpriseに移行する
まず確認すべきは、現在使っているAPとクライアント端末がWPA3に対応しているかどうかです。
# Linuxクライアントで接続中のWi-Fi暗号化規格を確認する nmcli -t -f ACTIVE,SSID,SECURITY dev wifi # 周辺APの詳細情報をスキャンする sudo iwlist wlan0 scan | grep -E "ESSID|Encryption key|IE"
WPA3対応APへの切り替えが難しい場合は、少なくともWPA2-Enterpriseの導入(RADIUSサーバーによる個人認証)を検討してください。クラウドRADIUSサービスを使えば、社内にRADIUSサーバーを立てずにEnterprise認証に移行できます。
また、WPA2-Personalを継続使用する場合は、パスワードを最低でも20文字以上のランダム文字列にすることで、クラッキングへの耐性を大幅に上げられます。パスワードマネージャーの生成機能を活用するのが現実的です。
2. SSIDを業務用・来客用・IoT用に分離する
一つのSSIDにすべての端末を混在させるのは、最も危険なWi-Fi設計です。以下のように分離することを強く推奨します。
| SSID | 接続対象 | ネットワーク |
|---|---|---|
| corp-secure | 業務PC・スマートフォン | 内部LAN(サーバーへのアクセス可) |
| guest | 来客・訪問者 | インターネットのみ(内部LAN遮断) |
| iot-devices | 監視カメラ・プリンター等 | インターネットのみ(IoT隔離) |
ゲストSSIDでは「クライアント分離(AP Isolation)」機能を必ず有効にしてください。これにより、同じゲストSSIDに接続しているユーザー同士が通信できなくなり、ARPスプーフィングのリスクを大幅に下げられます。
IoTデバイス用のSSIDを分けるのも重要です。監視カメラやプリンターは業務PCより脆弱性を放置されがちで、侵入の踏み台にされやすいためです。
3. 802.1X認証(RADIUS)を導入する
企業規模が10名を超えるなら、802.1X認証の導入を真剣に検討すべきです。導入のポイントを整理します。
・クラウドRADIUSサービスの活用: FreeRADIUSを社内に立てるのが難しければ、JumpCloud(25デバイスまで無料)やSecureW2などのクラウドサービスが選択肢になります。
・証明書ベース認証(EAP-TLS)の採用: ID/パスワードではなく証明書を使うと、フィッシングによる認証情報の窃取リスクをほぼゼロにできます。
・ディレクトリサービスとの連携: Active DirectoryやGoogle Workspaceと連携することで、入退社に合わせたアクセス制御を自動化できます。退職者の接続を即時遮断できる体制が整います。
4. 不正APの検知と物理的対策
Evil Twin攻撃を防ぐには、不正APの早期検知が重要です。
・ワイヤレスIDS(WIDS)の活用: 法人向けAPベンダー(Cisco Meraki、Aruba、Ubiquitiの上位モデル等)には不正AP検知機能が内蔵されているものがあります。定期的なスキャンで周囲の未承認SSIDを監視しましょう。
・定期的なWi-Fiスキャン: Linux環境ではnmcliやiwlist、WindowsではNetSurveyor(無料)を使って、自社SSID以外の高強度電波を定期確認できます。
・物理的な電波漏洩の最小化: AP出力を必要最低限に抑えること、窓際や廊下へのAP設置を避けることで、建物外からの攻撃面を減らせます。
# Linuxで周辺のWi-FiアクセスポイントのSSIDと暗号化方式を確認 nmcli dev wifi list # 隠しSSIDも含めた詳細スキャン(自社SSIDと異なる高電波を確認) sudo iwlist wlan0 scan | grep -E "ESSID|Encryption key|IE: IEEE"
中小企業でも今日からできること
「802.1X導入は予算的に難しい」という現場の声はよく聞きます。そういった場合でも、今すぐ取れる対策があります。
・Wi-Fiパスワードを今すぐ強化する: 会社名・社名略称・設立年のような推測しやすいパスワードは今すぐ廃止してください。20文字以上のランダム文字列に変更し、パスワードマネージャーで管理するのが現実的です。
・ゲスト用Wi-Fiを分離する: 来客用SSIDは多くのビジネス向けAPで設定可能です。今すぐゲストネットワークを有効にして、来客には業務ネットワークのパスワードを教えない運用に切り替えてください。
・APファームウェアを最新に保つ: Wi-FiルーターやAPのファームウェアには定期的に脆弱性が発見されます。年1回のファームウェア確認を社内カレンダーに入れましょう。
・古いAPを引退させる: WEPやWPAしか対応していない古いAPが残っていれば、今すぐ使用を停止してください。機器更新の予算が確保できない場合も、該当APのWi-Fiを無効化することを検討してください。
まず「今日できること」から手を付けることが、セキュリティ改善の確実な一歩です。
よくある誤解と注意点
【誤解1】SSIDを非公開(ステルスモード)にすれば安全
SSIDを隠しても、電波自体は出続けており、専用ツールを使えば数秒で検出できます。セキュリティ強化にはほとんど効果なく、逆に接続が不便になるだけです。「対策済み」とみなさないようにしてください。
【誤解2】MACアドレスフィルタリングで不正接続を防げる
MACアドレスは電波の傍受で容易に取得でき、Linuxのコマンド数行でなりすまし(スプーフィング)が実行できます。管理の手間が増えるだけでセキュリティ効果は限定的です。MACフィルタリングを「メインの対策」と位置づけることは避けてください。
【誤解3】WPA2で十分(パスワードが長ければ問題ない)
WPA2-PersonalはPMKID攻撃によりオフラインクラッキングのリスクがあります。パスワードが十分複雑であれば現実的な解読は難しいものの、WPA3への移行または802.1X認証の採用が長期的に見て安全です。機器の更新サイクルに合わせてWPA3対応APへの移行を計画してください。
本記事のまとめ
企業Wi-Fiのセキュリティ対策を整理します。
| 対策 | 効果 | 難易度 |
|---|---|---|
| WPA3対応APへの移行 | オフラインクラッキングを大幅に抑止 | 中(機器更新が必要) |
| SSID分離(業務/来客/IoT) | 内部ネットワークへの横展開を防止 | 低(設定変更のみ) |
| 802.1X認証の導入 | 個人認証により不正接続を防止 | 高(RADIUSサーバーが必要) |
| 不正AP検知の仕組みを作る | Evil Twin攻撃を早期に検知 | 中(スキャン習慣化) |
| APファームウェアの定期更新 | 既知の脆弱性を排除 | 低(年1回の確認) |
Wi-Fiは「繋がればいい」という感覚で運用しがちですが、企業ネットワークへの入り口として無防備なままにしておくのは危険です。まず今日できることから手を付けて、段階的にセキュリティレベルを上げていくことが現実的なアプローチです。
Linuxサーバーのネットワーク設定については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。
企業のWi-Fiセキュリティ、どこから手を付ければいいかわかりますか?
WPA3・802.1X・SSID分離の正しい優先順位は、会社の規模や現状の設備によって変わります。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント