【2010/4/29 追記】ある方に教えていただきましたが、Pocket WiFi のソフトバンク版である C01HW でも同じであり、当記事が有効のようです。

【2011/4/25 追記】フォロワーさんに教えていただきましたが、新型 Pocket WiFi GP01 でもセキュリティの初期設定が同じで、当記事が有効であるそうです。

【2011/12/26 追記】EMOBILE G4 対応 GP02 を一から設定してみましたが、そのままではないものの当記事を参考にセキュリティ設定を行うべき部分はありました。

前回の記事でも書いたように、Pocket WiFi (D25HW) は購入・契約すると、すぐに使える状態になっている。1枚紙の「かんたんセットアップマニュアル」(基本編・ゲーム編の2種類)の通り、

パソコンやゲーム機に無線 LAN の設定をするだけで
あとは Pocket WiFi の電源を入れるだけで使える簡便さ


になっている。この「買ってすぐに誰でも使える」コンセプト自体は素晴らしい。

ところが、Pocket WiFi の初期設定のままでは、いささかセキュリティ的に問題を抱えているのも事実。それは

  • ESSID (SSID) から Pocket WiFi が飛ばしている無線 LAN であることが丸わかり。

  • 無線 LAN 経由でブラウザで Pocket WiFi の設定画面にログインする仕様に関わらず、初期のログインパスワードが5桁の数字である。

  • Nintendo DS で使用することを念頭に置いているため止むを得ないとはいえ、初期の無線 LAN 暗号化設定が簡単に破ることが可能な WEP になっている。


という3点にあります。最悪の設定とまでは言えないものの、この初期状態のままでは

  1. パッと電波を見て、Pocket WiFi が飛ばしてる電波が見つかる。同時に WEP で使ってることも判る。

  2. ちょいちょいとやれば、ものの1分もかからずに WEP の暗号キーを見つけることができる。

  3. 見つけた WEP Key を使って Pocket WiFi の無線 LAN に繋ぎ、ネットに繋ぎ放題(だけなら良いけど、悪いことされて足がつくのは Pocket WiFi のユーザーに対してになる)。

  4. 加えて Pocket WiFi ということが判ってるから、ルーター設定画面のログインパスワードが(初期状態のままでは)5桁の数字の組み合わせであることも判る。手入力だとしんどいが、スクリプトを使えば5桁の数字なんか簡単に落とせるパスワードである。

  5. 万が一、Pocket WiFi の設定画面にログインされたら、設定変えられ放題になる。


という事態は十分考えられるわけで、やはり設定変更は強く推奨されるべきものです。イーモバイルは全く無頓着ですけど。

(言うまでもないですが WEP 暗号化キーを解読して、そのネットワークに侵入することは違法です。が、現実的にアタックされることは珍しくないのも事実です)

実際、発売3日目の昨日、梅田某所で Pocket WiFi の初期設定そのままで使ってると思われる電波が飛んでいて、「モバイルとはいえ、WEP Key なんて一瞬で Crack できるしヤバいよなぁ…」と感じたので、僭越ながら「Pocket WiFi (D25HW) を契約したら必ずやっておくべき設定」を書いておきます。間違いその他あれば、ご指摘いただければ幸いです。

なお、どうしてもそのまま使いたい、暗号化設定を WEP で使いたいという人は

Pocket WiFi では右下に WiFi 接続台数が出るので
自分が繋いでいる台数であることを時々確認すべし!


である。省電力設定で LCD 画面の情報は10秒ほどで消えてしまうが、電源ボタンを軽く押せば再び表示されるので、WEP で使う場合には、ただ乗りされていないか?を時々確認した方が良いでしょう。

PocketWiFi LCD Screen 1
上の写真例では右下に0(ゼロ)とあるところに
0〜5の WiFi 接続台数が表示される


なお、「MAC アドレスフィルタリング」「ステルス SSID」などの設定については、最後で少し触れます。

まずは、WEP で使う・WEP から変更するに関わらず、必ず変更すべき2つの設定から。


【1】何はともあれ、設定画面のログインパスワードを変える

無線LAN の暗号化設定云々に関係なく、まずは設定画面(マニュアルでは設定ツールと呼ばれている画面)のログインパスワードを変えるべきです。初期状態では IMEI 番号から取った5桁の数字。パスワードとしては、あまりにも酷すぎます。無線 LAN に侵入されたら簡単にアタックされて破られてもおかしくない設定です。


(1−1)設定画面にログインします

Pocket WiFi の電源を入れて、パソコンが Pocket WiFi の無線 LAN に繋がったら、ブラウザを起動して http://192.168.1.1/ (初期設定の場合)のログイン画面にアクセスします。詳しくはマニュアル第5章 78ページを参照のこと。

PocketWiFi_Setting01_Login

マニュアル 79ページの通り、上記画面で定められたユーザー名を入力し、パスワードはマニュアル1ページ目右に記載されている WEP Key を入力します。



(1−2)正しいユーザー名・パスワードでログインできたら、設定画面へ移動します

PocketWiFi_Setting02_TopConnect

上記のような画面になるので、画面左側メニュー欄の「設定」をクリックします(なお、上記画面では、初期設定から多少設定を変更しているのでインターネット接続モードの項目などは初期設定の内容と異なります)。



(1−3)設定画面からシステム設定→ログインパスワード変更画面へと移動します

PocketWiFi_Setting03_SettingTop2System

設定画面では、最後の項目の「システム設定」をクリックします。

PocketWiFi_Setting04_SystemSetting

システム設定画面では、最初の項目「ログインパスワード変更」をクリックします。



(1−4)ログインパスワードを変更します

PocketWiFi_Setting05_LoginPasswod

上記ログインパスワード変更画面では

  1. 現在のパスワード欄に、現在のパスワード(マニュアル1ページ目右に記載されている WEP Key と同じもの)を入力

  2. 新しいパスワード欄に、全く新しい自分で決めたパスワードを入力

  3. 新しいパスワードの確認欄に、前項と同じく全く新しい自分で決めたパスワードを再度入力

  4. それらの後に「変更」ボタンをクリック


以上の手順でパスワードを変更します。パスワードが変更されると、(1−1)のログイン画面に戻ります。

この手のパスワードについては忘れないことが何より重要ですが、ある程度の複雑さも必要です。一般的には

  • ほとんどの場合、半角英数字および記号のみで構成する。

  • 名前や電話番号・住所などの個人情報や一般的な単語、特に英単語だけの組み合わせは絶対避ける(パスワード攻撃は手始めに辞書にある単語を使って攻撃を試みます)。

  • あまり短いものは絶対避け、自分が覚えられる程度に長めにする(8文字制限がない場合は十数文字程度は欲しい。Pocket WiFi では最大15文字)

  • 英字のみで構成せず、英字・数字・記号(マイナスとかアンダーバー等)を入れて複雑っぽくする。


というあたりでしょうか。ググれば、こういったパスワード類の推奨設定を詳しく解説したページが出てくると思います。ただ、自分が忘れてしまうのは最悪ですから、その点は一番注意が必要です。

ログインパスワードの変更方法、パスワードに使える文字については、マニュアルの 109ページを参照して下さい。



【2】Pocket WiFi であることが丸わかりなのを変更する(SSID の変更)

電波を見ると Pocket WiFi が飛ばしているのが丸わかり、というのは攻撃相手に情報を渡してしまうということもあり、セキュリティ的にあまり宜しくないことです。ので、アホすぎる初期設定の ESSID (SSID) を変更するのも、ログインパスワードと並んで、まずやるべきことです。


(2−1)Pocket WiFi の設定画面へ移動します

(1−1)〜(1−2)と同じです。



(2−2)設定画面から無線LAN設定→無線LAN基本設定へと移動します

PocketWiFi_Setting06_SettingTop2WiFi

上記の設定画面で、今回は2番目の「無線LAN設定」をクリックします。

PocketWiFi_Setting07_WiFiSetting2Basic

無線LAN設定画面では、最初の項目「無線LAN基本設定」をクリックします。



(2−3)SSID を変更します

無線LAN基本設定画面では、多くの設定を変更できるようになっていますが、ひとまず変更すべきは SSID(ESSID とも呼ばれているもの)。

PocketWiFi_Setting08_WiFiBasic_SSID1
(クリックで拡大します)


初期設定では、この SSID の設定欄にマニュアル1ページ目に記載の、D25HW- で始まる SSID が入力されているはずです。D25HW- で始まってるなんて間抜けですね。昔の Yahoo!BB のルーターと同じでアホすぎます。

ということで、自分で決めた SSID を入力します。32文字までの英数字、ピリオド、ハイフン、アンダーバー、スペース(いずれも半角)が使えます。

SSID はパスワードではないので複雑さなどを気にする必要はありません。また、同じ無線LAN基本設定画面にある「SSID ステルス」を有効にしない限り、完全に覚えておく必要もないので(完全に忘れるのは困りますが)、パスワード系ほど気を使うこともないでしょう。

ただし、せっかく D25HW という文字を外したのに「Pocket WiFi」などと使ってる機種が判るような SSID は変更が無意味になりますし、パスワードと同じ SSID なんてのは、もってのほかですので、それだけは気をつけるべき点です。

SSID を決めて入力したなら

PocketWiFi_Setting09_WiFiBasic_SSID2
(クリックで拡大します)


無線LAN基本設定画面の下の方、中央にある「適用」ボタンをクリックします。次に現れる画面で、設定情報のチェック、送信が完了したことを確認して下さい。

ここで Pocket WiFi の無線 LAN に関する設定が変更されましたので、USB 接続ではなく無線 LAN で Pocket WiFi と接続している場合には設定画面へのアクセスが途切れます。USB 接続している場合も含め、再度パソコンやゲーム機の無線 LAN の設定をやり直す必要があります。

パソコン、ゲーム機側の無線 LAN の再設定については、初期設定で行った手順と同じです(「かんたんセットアップマニュアル」と同じ手順)。異なるのは SSID が D25HW- で始まるものではなく、今回自分で設定した SSID のものを使うということです。

なお、この後の無線 LAN 暗号化設定を変更した場合には、もう一度設定変更が必要になりますので、複数台のパソコン、ゲーム機を接続している場合には、Pocket WiFi の設定を変更するのに使っているパソコンを除いて、次項の無線 LAN の暗号化設定を終えてからまとめて変更する方が良いでしょう。

この SSID 変更については、マニュアル 91〜92ページに記載されていますので、参照下さい。

ちなみに、「SSID ステルス」については最後に触れます。また、「プライバシーセパレータ」については別記事で触れていますが、WEP のような速攻で破られるような暗号化設定を使ってる場合には有効にしておかないと、使ってるパソコンが攻撃される可能性が高まりますので、必要がない限り有効のままにしておくべきものです。



【3】無線 LAN の暗号化設定を WEP から変更する

肝心要の無線 LAN 暗号化設定の変更です。何度も書きますが、初期状態では WEP は未だに多く使われているものの、その気になればあっという間に破られてしまう程度の暗号です。暗号化を設定しないよりはマシ程度です。

ただ、世の中で広く使われている無線 LAN 対応機器の一つ、Nintendo DS が(当時既に出ていた)WPA には対応せず WEP のみしか対応していません。また、DSi, DSi LL では WPA に対応していますが、ゲーム機として使う場合は事実上 WEP のみの制限があり、事態は何も変わってません。任天堂の大罪と言っても良い問題です。

そのため、ゲーム機の利用を念頭に置いている Pocket WiFi も初期設定では WEP にしているのはやむを得ないところですが、Nintendo DS を使っていない場合には、即変更した方が良いのは言うまでもありません(他には Linux Zaurus も WEP のみでしたっけね…)。

古いノートパソコンで WEP しか対応していないパソコンや無線LAN アダプターを使っている場合も仕方ないでしょうが、新しい USB 無線 LAN アダプターなどを購入して WPA2 & AES で使うべきでしょう。踏み台にされてからでは遅いですしね。

ま、個人的にはたとえ Nintendo DS を使っていたとしても、ゲーム機如きのネットアクセスのために暗号化設定をユルユルの WEP にするのもどうかと思いますが…


(3−1)Pocket WiFi の設定画面へ移動します

(1−1)〜(1−2)と同じです。前章で無線 LAN の設定を変更した場合には、設定を行うパソコンの無線 LAN 設定をやり直して、Pocket WiFi に繋がるようにしてから手順を踏んで下さい。



(3−2)設定画面から無線LAN設定→無線LANセキュリティ設定へと移動します

PocketWiFi_Setting06_SettingTop2WiFi

上記の設定画面では(前章と同じく)2番目の「無線LAN設定」をクリックします。

PocketWiFi_Setting10_WiFiSetting2Security

今回は無線LAN設定画面でも、2番目の項目「無線LANセキュリティ設定」をクリックします。



(3−3)無線LAN 暗号化方式、暗号キーを変更します

無線LANセキュリティ設定の画面に移動すると、最初に各設定項目の説明が書かれていて、後半に設定項目が並んでいます。ここで、初期設定では下の画面のように

PocketWiFi_Setting11_WiFiSecurity1
(クリックで拡大します)


IEEE802.11認証は「Auto (Open/Shared)」
暗号化方式は「WEP」
WEPキー1はマニュアル1ページ目に記載の WEP Key(数字5桁)
現在のWEPキーは「1」

となっているはずです。他に WEPキー2〜4とありますが無視して問題ありません。

ここで一番強度を上げるのならば、以下のように

PocketWiFi_Setting12_WiFiSecurity2
(クリックで拡大します)


IEEE802.11認証は「WPA2-PSK」
暗号化方式は「AES」
WPA事前共有キーは自分で決めたものを入れる

となります。

WEP から WPA ないし WPA2 に変更した場合、WPA事前共有キーの欄にはマニュアル1ページ目記載の WPA Key が入力されますが、非常に脆弱なキー設定になっていますので、自分で決めたものを入れるべきです。

キーフレーズの決め方は第1章のログインパスワードと同じような形で良いですが、8〜63文字の半角英数字と一部を除き半角記号となっています。詳しくはマニュアル 94ページを参照下さい。なお、当然ですが、ログインパスワードと同じものは絶対に避けるべきです。

近年のパソコン、無線 LAN 端末なら、ほとんどこの WPA2-PSK / AES の組み合わせで問題ありませんが、少し古いパソコンや無線 LAN 仕様端末だとこの組み合わせが使えない場合があります。例えば PSP は WEP 以外に WPA は使えますが、WPA2 は使えません。にも関わらず TKIP だけでなく AES も使える仕様になっています。

このような機器がある場合には以下のように、WPA と WPA2 両対応、暗号化も TKIP と AES の両方が使えるように設定しておくのも良いでしょう。

PocketWiFi_Setting13_WiFiSecurity3
(クリックで拡大します)


こういった制約がない場合にはできるだけ上位の、WPA よりは WPA2、TKIP よりは AES を使うように設定しておくべきなのは当然ですが、良く判らない場合には上記の設定でも WEP を使うのとは違って、十分実用的な暗号化が設定されます。

TKIP については、一時期“解読された”報道が先走って「TKIP はもうダメだ」という話が随分広まってしまいましたが、実際は解読に特定条件が必要なため、通常使用でいますぐ危険というほどのことはありません(WEP とは危険の桁が遥かに違う)。しかし、この手のものは時間の問題でもあるので、できるだけ現在最強の AES に限定する方が良いのは当然です。



(3−4)設定を確認する

(3−3)で無線 LAN のセキュリティ設定を変更して「適用」ボタンをクリックした後は、再びパソコンの無線 LAN の設定をやり直す必要があります。ここまでやると、「かんたんセットアップマニュアル」と同じ手順とはいかずに多少異なりますが、基本は同じです。

SSID は前章で設定したもの、暗号化方式は WPA2-PSK と AES(PSP のようにWPA2-PSK が使えない場合は WPA-PSK と AES)のようにして、自分で設定した WPA 事前共有キーを入れることになります。多少手間は必要ですが、安全のためです。玄関の鍵が、針金一つで開けられるものから最新の防犯ロックに変わったようなものですから、これくらいは我慢です :-)

再び Pocket WiFi の無線 LAN に接続できるようになったら、(1−1) → (1−2) の手順の後、左側のメニュー項目にある「基本情報」をクリックします。すると emobile SIM の情報とともに、簡単な設定内容も表示されます。

PocketWiFi_Setting14_BasicInfo
(クリックで拡大します)


ここで SSID と暗号化方式は確認しておきましょう。ま、繋がっているのだから間違ってはないと思いますが。



【4】「MAC アドレスフィルタリング」と「SSID ステルス」について

MAC アドレスフィルタリングを設定することで、指定した MAC アドレスを持つ機器以外は Pocket WiFi の無線 LAN に接続できなくなります。というのは建前なのですが、MAC アドレスは簡単に偽装できてしまいます。

また、WEP Key を解読する過程で、無線 LAN を利用している機器の MAC アドレスを知ることもできます。ということで、「MAC アドレスフィルタリング」というのは、ほぼ無意味です(盗聴には最初から全く無意味です)。ま、気休めですね。

PocketWiFi_Setting15_MACFiltering

SSID のステルス機能についても、隠してる SSID を発見する方法はあります。また、この機能を有効にしていると正常に接続できない、接続が不安定になる機器もありますので、止むを得ず WEP で使っているようなことがなければ有効にする必要はないでしょう(初期設定では無効)。

ただ、WEP で使っている場合には、SSID が速攻で発見されて即 WEP キー解析に走られる可能性が多少低くなるので、やらないよりはやった方が良いでしょう。MAC アドレスフィルタリングもそうですが、hacking されるまでのステップ数をちょっと増やすだけにはなります。

いずれにせよ、

WEP を WPA 系に変更する>>>(越えられない壁)>>>その他の対策


です。

WPA2-PSK で AES を使っていれば、接続機器によっては副作用のある SSID ステルスを使う必要もないですし、MAC アドレスフィルタリングなんていう無意味なことをした方が良いのかな?と思うこともないわけです。

MUGEN POWER Pocket WiFi(C01HW/D25HW)用 大容量バッテリー・3900mAh・バック HLI-E5830XL-W
MUGEN POWER Pocket WiFi(C01HW/D25HW)用 大容量バッテリー

(Pocet WiFi 唯一の難点はバッテリーのもち。大容量バッテリーがあれば安心)


というわけで、とにかく、

  • ログインパスワード変更

  • SSID 変更

  • 暗号化方式変更


だけは Pocket WiFi を買ったらやっておくべきでしょう。

ちなみにこのことは Pocket WiFi に限らず、他の無線 LAN ルーター、アクセスポイントでも同じことです。自宅で別途無線 LAN を使ってる場合にも言えますので(むしろ移動しない自宅の方が危険度は高い)、万が一自宅や会社その他で WEP を使ってる場合は、すぐに変更するべきものです。

Nitendo DS があって、それでネットに繋ぐようなことがあると、どうしても WEP にしたくなりますが、セキュリティとどちらが重要かを自分で考えて判断して欲しいものです。玄関の鍵をなかなか破られないようにできるのに、ピッキング一発で開けられるモノにしておくのと同じですから…

追加参考記事: Pocket WiFiを EMチャージで利用する&接続した機器同士の通信設定

レイ・アウト Pocket WiFi(CO1HW、D25HW)スリップガードシリコンジャケット/ブラック RT-PW01C1/B
レイ・アウト Pocket WiFi スリップガードシリコンジャケット/ブラック RT-PW01C1/B

(ケースに入れておけば、ポケットでもカバンでもサクっと入れられてGood!)