Windows 10の「Wi-Fiセンサー」で他人がWi-Fiネットワークに接続するのを防ぐ:Tech TIPS
次第に広まっていくWindows 10だからこそセキュリティは気になるところ。新機能「Wi-Fiセンサー」によるセキュリティ上の影響と対策をシステム管理者の視点で解説。
対象OS:Windows 10
解説
新たにWindows OSが登場すると、たとえ自分自身が当面使わないとしても、プライバシーやセキュリティといった点は気になるところだ。例えば、他人が使っているWindows 10のせいで自分(あるいは自社や自分の家庭など)のセキュリティが脅かされるのは、誰しも避けたいだろう。
本TIPSでは、Wi-Fiネットワークのセキュリティに関わるWindows 10の新機能「Wi-Fiセンサー(Wi-Fi Sense)」の注意すべき挙動と、セキュリティ上の対策についてシステム管理者の視点で解説する。
●Wi-Fiセンサーとは何か?
Wi-Fiセンサーをひと言で説明するなら、Wi-Fiネットワークの接続情報をWindowsユーザー間で共有することで、Wi-Fi経由のインターネットアクセスをもっと簡単にするための機能だ。
Wi-Fiセンサーの機能は次の2つに大別される。
- 不特定多数からの接続を許可している「オープン」なWi-Fiネットワークに対し、その接続情報をWindowsユーザーから収集することで、自動的な接続を可能にする
- Facebook/Outlook.com/Skypeで「つながっている」ユーザーと相互にWi-Fiの接続情報を共有することで、お互いのWi-Fiネットワークへの自動接続を可能にする
前者については、オープンなWi-Fiだと通信内容が傍聴される危険性が高いという問題はあるにせよ、一般に公表されている接続情報がWi-Fiセンサーによって共有/提供されることに大きな問題はないだろう。
気になるのは後者だ。上記の説明だけでは「社内のWi-Fiに接続しているユーザーから、その知り合いにSSIDや暗号化キー(パスワード)が漏えいする!?」と疑っても無理はない。
Wi-Fiセンサーでは、以下のような仕組みでWi-Fiの接続情報を他者と共有する。
Windows 10の「Wi-Fiセンサー」によってWi-Fiの接続情報が共有される仕組み
これは企業内システムで、ある社内スタッフがWi-Fiセンサーを利用して知人のPCを社内Wi-Fiへ接続させる、という例である。
(1)Wi-Fiの接続情報を受け取れる(共有できる)のは、上図の「社内スタッフ」とFacebookで「友達」になっているか、あるいはお互いにOutlook.comやSkypeの連絡先に載っている、という「つながり」のあるWindows 10ユーザーに限られる。
(2)「社内スタッフ」が社内のWindows 10マシンでWi-Fiセンサーを有効化し、かつ社内Wi-Fiを「共有」するように明示的に設定すると、その接続情報(SSIDや暗号化キー)がインターネット上のマイクロソフト管理下のサーバーに送信・保存される(通信路上でもサーバー内でも暗号化される)。
(3)(1)のユーザーに対して、マイクロソフトのサーバーからWi-Fiの接続情報が送信される。ただし、暗号化キーそのものは閲覧できない。
(4)暗号化キーを知らないにもかかわらず、(1)のユーザーは社内Wi-Fiに接続して、インターネットにアクセスできるようになる。
(5)その一方で、社内Wi-FiにつながっているサーバーやクライアントPCなどにはアクセスできない。
●誰でも社内Wi-Fiが自由に使えるようになるわけではない
Wi-Fiセンサーによって、暗号化キーを知らない人が対象のWi-Fiに接続できるようになるには、複数の前提条件がある。また接続できたとしても、その利用には制限がある。
■Wi-Fiネットワークごとに明示的な許可が必要
Wi-Fiセンサーで接続情報を共有するには、上図の「社内スタッフ」側が対象のWi-Fiネットワークごとに共有を明示的にオンにする必要がある。Wi-Fiセンサーを有効化したからといって、即座に全ネットワークの共有が始まるわけではない。
Wi-Fiネットワークの接続情報を共有するための設定
[設定]アプリを開いて[ネットワークとインターネット]−[Wi-Fi]−[Wi-Fi設定を管理する]とクリックし、下にスクロールすると、この画面が表示される。
(1)Wi-Fiセンサーがオンになっている場合、各Wi-Fiネットワークの欄に[共有]ボタンが現れる。これを押して暗号化キーを入力すると共有がオンになる。これで初めてWi-Fiの接続情報がマイクロソフトのサーバーに送信される。
■Windows 10/Windows Phone 8.1/Windows 10 Mobileが対象
Windows 10以外のOSを搭載したPCでは、Wi-Fiセンサーによる共有は利用できない。一方、Windows Phone 8.1や登場予定のWindows 10 Mobileを搭載するモバイル機器では、Wi-Fiセンサーが利用できるとのことだ。
■Wi-Fi接続情報の「又貸し」は不可
上図の「つながり」のある人達から、そのまた「つながり」のある人達に対して社内Wi-Fiの接続情報が提供されることはない。あくまでも直接「つながって」いるユーザーだけに限定される。
■IEEE 802.1Xが導入済みのWi-Fiは共有されない
IEEE 802.1Xによる認証が求められるWi-Fiネットワークの場合、Wi-Fiセンサーを有効にしても、その接続情報は共有されない。
■暗号化キーそのものは閲覧できない
上図の「つながり」のある人達は、Wi-Fiの暗号化キーそのものを閲覧することはできない。また、この暗号化キーは通信路上でも保存先のマイクロソフトのサーバー内でも暗号化され、平文で露出することはないとされる。
■共有されたWi-Fiではインターネットへのアクセスのみが可能
上図でいえば、「つながり」のある人達は社内Wi-Fiに接続できるものの、そこからインターネットへのアクセスのみが許可される。Wi-Fiネットワークにつながっているイントラネットやその他のネットワーク機器へのアクセスはできない。
●Wi-Fiセンサーの真の問題点
以上のように、Wi-Fiセンサーによって無制限にWi-Fiの暗号化キーが漏えいしたり、接続できる人がどんどん増えたりするわけではないことは分かる。それでも問題点はある。
一つは、友達として、あるいは連絡先に登録されている全員に対してWi-Fiの接続情報が提供されることだ。連絡先から特定の人だけ選んで提供を許可/禁止することはできない(Facebook/Outlook.com/Skypeというサービス単位で許可/禁止することは可能)。
もう一つは、いくら社内リソースへのアクセスが禁止されるといっても、インターネットへのアクセスだけで何らかの不正行為が行われる可能性が残ることだ。
少なくとも社内Wi-Fiのように、エンドユーザーとシステム管理者が分かれている環境では、誰なのかすぐに分からない人が社内Wi-Fi経由でインターネットにアクセスできる、という事態は避けるべきだろう。
操作方法
以下では、システム管理者の視点で、Wi-FiセンサーによってWi-Fiの接続情報が意図せず「共有」されるのを防ぐ方法を解説する。
●SSIDに「_optout」という文字列を含めるのが確実
本来は、社内Wi-Fiに接続する全てのWindows 10マシンに対し、Wi-Fiセンサーの無効化を強制したいところだ。しかしそれは、私物PC(いわゆるBYOD)も含めて、ユーザーがむやみに設定を変更できないようにPCをしっかり管理/監視している環境でないと難しいだろう。
一方、共有されたくないWi-FiのSSIDに「_optout」という文字列を加えると、Wi-FiセンサーはそのWi-Fiを共有対象から外す。例えば現在のSSIDが「MYWLAN1」となっているなら、「MYWLAN1_optout」「MY_optout_WLAN1」のように変更すればよい。
SSIDの変更手順はWi-Fiアクセスポイントによって異なるので、アクセスポイントの取扱説明書などを参照していただきたい。また、SSIDを変更した場合は、クライアント側でも設定を変更して再接続する必要がある。
その他の対策としては、Wi-FiネットワークにIEEE 802.1Xの認証システムを導入することが挙げられる。企業であれば、むしろこちらの方が「真っ当」な対策といえる。ただ、SSIDの変更に比べて手間やコストが大幅に増える点は覚悟する必要がある。
●Wi-Fiセンサーを無効化する
Windows 10のGUIから手動で無効化するには、[設定]アプリを開いて[ネットワークとインターネット]−[Wi-Fi]−[Wi-Fi設定を管理する]とクリックして表示された画面で、以下のように設定にする。
[設定]アプリからWi-Fiセンサーを無効化する
[設定]アプリを開いて[ネットワークとインターネット]−[Wi-Fi]−[Wi-Fi設定を管理する]とクリックすると、この画面が表示される。
(1)Wi-FiセンサーによってリストアップされるオープンなWi-Fiネットワークへの接続を止めるには、[推奨されたオープンホットスポットに接続する]をオフにする。
(2)社内Wi-Fiのように「クローズド」なWi-Fiネットワークの共有を止めるには、[連絡先によって共有されたネットワークに接続する]をオフにする。
Windows 10のセットアップ時に無効化したり、グループポリシーやレジストリ設定で無効化したりする手順については、次のページが参考になる。
- Windows 10: Wi-Fi センサー (Wi-Fi Sense) とは? 正しく理解して使用してみよう(マイクロソフト公式ブログ「日本のセキュリティチーム」
なお、Windows 10をインストールした際に[簡単設定を使う]を選択した場合は、Wi-Fiセンサーが最初から有効になる。具体的には、上の画面の(1)(2)がそれぞれオンになる。それでも、前述したようにWi-Fiネットワークごとに共有を明示的に有効化するまで、「クローズド」なWi-Fiの接続情報の共有は始まらない。
■関連リンク
- Wi-Fi センサーに関する FAQ(Windows 10)(マイクロソフト)
- Wi-Fi センサーに関するよくある質問(Windows Phone)(マイクロソフト)
- Windows 10: Wi-Fi センサー (Wi-Fi Sense) とは? 正しく理解して使用してみよう(マイクロソフト公式ブログ「日本のセキュリティチーム」)
■更新履歴
【2015/08/24】[簡単設定を使う]と指定してWindows 10をインストールした場合、Wi-Fiセンサーは最初から有効になるものの、「クローズド」なWi-Fi接続情報の共有がすぐに始まるわけではないことを追記しました。
【2015/08/24】初版公開。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.