無線ルータのセキュリティ設定について

現在我が家では無線ルータを介してインターネットに接続していますが
ルータのセキュリティ設定について分からない事があったので質問させていただきます。

今、私のルータは"WPA2-PSK AES"という方式を使用しているのですが
私よりも少し無線LANに詳しい友人から
・Any接続をできなくする。(ESSIDをブロードキャストしない)
・MACアドレスフィルタリングで接続させたい機器以外を許可させない。
の2項目さえしっかり設定してあれば
家庭用の無線LANは問題なく、過剰なセキュリティは速度を落とすだけだと言われました。

これだと暗号化されていないデータが無線で飛び交うことになると思うのですが
彼曰く「無線LANの電波を傍受して
それをデータとして意味のあるものに復元できるような設備を持っていて
傍受した大量の無意味なデータの中から
パスワード等のデータを効率よく収集できるようなスキルを持っているような者が
仮にいたとしても、一般家庭を対象にしてそのような事はしない」
と言います。
つまり、ルータに接続されてLAN内に入られない事が重要で
それ以外は必要ないとのことらしいのですが

私としては、仮に彼の言う通りだとしたら
家庭用に市販されているルーターに
初心者にも扱えるように色々工夫してまで
セキュリティの仕組みを施さないのではないかと思い
彼の理論にはいまひとつ賛同できないものの
私自身は無線LANに明るくない為
間違っているという断定もできずにいます。

知識のある方から見て、このような理屈をどうお思いでしょうか
よろしくお願い致します。

No.3 ベストアンサー 回答者： parts 回答日時： 2012/07/21 11:15

質問にすべて答えがありますが・・・。

「仮にいたとしても、一般家庭を対象にしてそのような事はしない」だれの名言か知りませんが、仮にいて家庭を狙ったらおしまいだということを逆に語っているのです。神様頼みか、確率の問題ですか・・・平和ですね。

速度が落ちるというのも、一体何年前の無線機器とパソコンの話なのかわかりませんが。

基本的に、現在最新のPCではAES-NIをCPU内に内蔵したCore i3やi5、i7を使えば、PC側の負荷はほとんどありません。また、無線アクセスポイントは5年前の3倍以上の性能に達しており、一般的なインターネット接続において、速度が極端に落ちることはないとみるのが妥当です。最近は、無線の方が、インターネット回線より速いケースも多いですからね。まあ、それでも多少は落ちますので、それを天秤にどうかけるかの問題です。

まあ、それでも不要だと思われるなら、それはそれを行う人が、決めることです。ただ、人に話して推奨する話ではありません。通常は、分かりきったセキュリティの問題点は、初対面の人はもちろんですが、友人など、身近な人ほど話してはいけないのです。それが、リスクマネージメントの鉄則です。


ちなみに、ESSIDの隠蔽は、あまり意味があるとはいえません。次に、暗号化の有無については、一般的なインターネット接続においては、なくても問題はないとみることはできるでしょう。その代わり内容は見えますので、重要な通信はしないこと。ルータ側で、ログの管理とその通信セグメントに対する通信状況を把握しておくこと、ネットワークは分離することなどの設定をする必要はあるでしょう。


なお、攻撃者が何をねらうのかは、わからないというのが本当のところといえます。たとえば、誰もが暗号化していないなら、その中によい情報があり、しかも安価に入手できると知れば、攻撃者はそれを狙うようになるでしょう。
簡単に言えば、自分だけがしなくとも大丈夫というだけの話で、それが全国民、全世界で行われれば、攻撃する価値が出てくるといえます。

次に、一般にパスワードなどを効率的に収集するだけが、その目的になるとは限りません。暗号化のない無線を攻撃（傍受）する利点は、そのネットワークの状態を識別しやすいということにあります。すなわち、1日でも内容を丸ごと傍受すれば、そこに生活する人が何をしているか、今家にいるか、それともいないかなど、生活実態も把握できます。
すなわち、データを盗む目的だけではなく、そのほかの犯行にも使えるかもしれません。
ほかにも、目的はたくさんあるでしょう。ゲートウェイが何かが分かれば、まあその相手の素性も分かる可能性もあれば、インターネット経由でネットワークの外から中（ホームネットワーク）に入る方法を見つけられるかもしれません。

その気があるものが、万が一いや億に一人でもたまたまその近くにいたと仮定した場合、狙う最初のステップは比較的近場で簡単な場所とみることもできます。プロでも最初は素人です。すなわち、一気にプロになるわけではないのです。だから、練習の場が必要で、そのステップを身近に求める可能性は十分あります。ならば、最初はどこを狙うかは比較的ログも見ない人でしょう。素人、まあ逆に言えば、素人はちょっとしたことで心配するので、ちょっと私はできると思う人。特に、これは大丈夫などと語る人は、攻撃しやすいかもしれません。
私もそうかもしれませんが、そういう人が狙いやすい。


「そのようなことはしない。」というのは、その方がそういう攻撃をしてきた方で経験があるからいわれるならば、一つの経験として説得力があるでしょうが、そうではなく単純に、攻撃しても価値が見いだせないというのであれば、それはおめでたい話であり、平和な発想です。


安全というのは、気を配っても必ずしも得られるものではありません。まあ、家に居ようが家に車がつっこんでくれば、不慮の事故や事件になりますからね。率の違いですけどね。
その率というのは、コストに対してどれだけのロスを容認するとユーザーが考えるかです。

ロスが1%でもそれは通信にとって困ることだから、無線の暗号化は傍受されてもよいというなら、それはそれで筋が通っています。しかし、まるで世間一般でこれが当たり前であると、思わせるようなことになると、今度は傍受されて後から、困ることが起きたときに、それにだまされたという話になります。即ち、自分自身がミスリードを世間に進めることになります。また、最初項で述べたように、相手が自分以上にもしも上手なら、それを逆手に攻撃を受ける危険性もあります。

即ち、セキュリティ対策を存分にしましょうという話が、世間で多く、その逆にセキュリティを弱めても大丈夫でしょうという話があまり出てこない理由は、それが絶対安全を保証するものではないからと、自ら欠点を露呈することは、危険性につながるからです。まあ、未知の脆弱性を探すために、お願いするのであれば別ですが。

いかがでしょうか？
まあ、MACアドレスはフィルタリングアドレスの対象を知って、それに併せて自分の持つPCのネットワークデバイスの物理アドレスを変更したり、隠蔽すればただ乗りすることもできることを意味しますし、そういうネットワークはある意味軽く踏み台にできる気もします。
確かに、質問者様のご友人の考えも、コストロスでみれば、その人には正しいのだと思いますが、長く解放していればそれだけ、人の目につく機会は増加し、リスクもまします。今日の1時間、明日も昨日とは違う1時間などであれば、もしかすると攻撃者の目にはつき難いでしょう。

ただ、無線LANは常時電源が入っていることが当たり前ですから、一度クラッカーに目をつけられれば、そこは必ず落とされるとみた方がよいですから、まあ丸見えでOKとはいかないと思いますよ。

よって、それを推奨することは私にはできません。
ただ、自分の理論や理想においてそれをしている人を、強く責める気もありませんが、できれば暗号化をしてほしいと思います。もし、それが攻撃者に掴まれ、単純に情報の搾取ではなく踏み台に使われると、ほかの方にも迷惑をかけますからね。

この回答へのお礼

確かに確率の問題ですね。
確率を考えると、最も現実的なのは…
という前提で友人も話していたと思いますが

いずれにしても、踏み台にされることで
他人に迷惑をかける可能性がゼロでない限り
ほかの人に勧めて良い方法でないのは確かなのでしょうね。

回答ありがとうございました。

お礼日時：2012/07/21 11:45

No.4 回答者： 11zep 回答日時： 2012/07/21 11:51

友人の意見に賛成です。

セキュリティの事をやたら気にする人には、私も友人と同じ話をします。
今までの経験から知識のない人ほどセキュリティを気にしていると
感じています。なのでメーカーも暗号化機能を搭載しセールスポイントに
しているのだと思います。

そこまで言える友人は、詳しい人なのだと思いますよ。
友人の事を信じてあげて下さい。

この回答へのお礼

信じていないわけではなく
なるほどな…とも思わされたのですが

私にとっては、あまりにも大胆な説に思えたので
知識や経験な豊富な方から広くご意見を伺いたいと思いました。

ご回答いただきましてありがとうございました。

お礼日時：2012/07/21 11:58

No.2 回答者： te2kun 回答日時： 2012/07/21 10:44

＞・MACアドレスフィルタリングで接続させたい機器以外を許可させない。

MACアドレスフィルタリングを行えば、同じMACアドレスの機器以外は接続出来なくなります。
ただし、MACアドレスって偽装出来たりしてしまいます。また、偽装するようなツールがあります。
ただ、MACアドレスが分からなければ無理ですから、非常に困難です

データを傍受されたとしても、パスワード等を抜き出せなければ大丈夫だと言うことも言えます。
インターネットしかしないって場合は、暗号化しなくても問題ないとも言えます。
LAN内でのデータのやりとりを行うのであれば、暗号化を行っている方がよいでしょう
LAN内でのデータでも他人に閲覧されても問題ないようなものなら、特に問題はないかもしれません。

確かに、暗号化を行うことにより通信速度は落ちます。
でも、10Mbps以上出るような場合は無視しても問題ないと思いますよ
そもそも10Mbps以上も使う場合は、動画コンテンツを視聴しない限りまず使うことがない速度だったりします。

この回答へのお礼

なるほど。
リスクを承知でセキュリティを掛けないことを選んだとしても
メリットはたかが知れてるわけですね。

回答ありがとうございました。

お礼日時：2012/07/21 11:54

No.1 回答者： jamesbond007mi6 回答日時： 2012/07/21 10:24

ご友人の言われることはその通りだと思います。

でもその前に、今の通信速度に不満があるかどうかです。無ければ、セキュリティをかけたままにすればよいと思います。

不満があれば、試してみて改善されればそのまま使えば良いでしょう。

技術の進歩は速いので、一般家庭を対象にデータを読み取る人が出てこない保証はありません。

この回答へのお礼

＞技術の進歩は速いので、一般家庭を対象にデータを読み取る人が出てこない保証はありません。
実際に、家庭での使用を前提に市販されているルータに
これだけセキュリティの機能が充実していることを考えても
その危険は決して遠い世界の話でもないのかもしれませんね。

回答ありがとうございました。

お礼日時：2012/07/21 11:49