Linuxでは様々なWi-Fiセキュリティ方式をサポートしています。ただ、自身のデバイスやアクセスポイントによって利用可能なセキュリティ方式は異なりますので、それぞれのセキュリティ方式の特徴を理解した上で、どのようなWi-Fiネットワークなら接続すべきかを判断することが重要です(結論、WPA3かWPA2以外の接続は非推奨です)。
本記事では、代表的なWi-Fiセキュリティ方式を説明し、ご自身のPCや近くのアクセスポイントがどのセキュリティ方式をサポートしているのかをLinuxで確認する方法を紹介します。
目次
- 代表的なWi-Fiセキュリティ方式
- IEEE802.11の各規格と対応しているセキュリティ方式
- PCがサポートするWi-Fiセキュリティ方式の確認(ハードウェア/ドライバー)
- アクセスポイントのセキュリティ方式の確認
- まとめ
代表的なWi-Fiセキュリティ方式
代表的なWi-Fiセキュリティ方式には以下のようなものがあり、最新のLinuxでは多くがサポートされています。
- なし (None)
- WEP (Wired Equivalent Privacy)
- WEP 40/128-bitキー (HEXまたはASCII)、WEP 128-bitパスフレーズ
- 動的WEP (802.1x)
- LEAP (Lightweight Extensible Authentication Protocol)
- WPA & WPA2 (Wi-Fi Protected Access)
- WPA & WPA2 Personal (PSK – Pre-Shared Key)
- WPA & WPA2 Enterprise (802.1x/EAP)
- WPA3 (Wi-Fi Protected Access 3)
- WPA3-Personal (SAE – Simultaneous Authentication of Equals)
- WPA3-Enterprise
例:UbuntuのWi-Fiセキュリティ選択画面
1. なし (None)
- 特徴: 暗号化も認証も行いません。誰でも接続でき、データは平文(暗号化されていない状態)で通信されます。
- 強度: 非常に低い (実質的にゼロ)
- 推奨度: 非推奨 (公衆Wi-Fiやテスト目的以外では絶対に使用しないでください)
セキュリティなしのWi-Fiをやむなく使う際は、必ずVPNを利用するか、HTTPSやSecure Shellなど、アプリケーション層で保護された通信のみを使うようにしましょう。
2. WEP (Wired Equivalent Privacy)
WEPは、Wi-Fiの初期に導入されたセキュリティ規格です。
WEP 40/128-bitキー (HEXまたはASCII)、WEP 128-bitパスフレーズ
- 特徴: 1990年代後半に作成された非常に古い規格で、RC4ストリーム暗号を使用しています。設計上の欠陥があり、ツールを使えば数分以内にパスワードを解読されてしまいます。
- 強度: 非常に低い
- 推奨度: 非推奨 (セキュリティ上の理由から使用すべきではありません)
動的WEP (802.1x)
- 特徴: 802.1x認証と組み合わせてWEPキーを動的に生成する方式ですが、WEP自体の根本的な脆弱性は解消されていません。
- 強度: 低い
- 推奨度: 非推奨
3. LEAP (Lightweight Extensible Authentication Protocol)
- 特徴: Ciscoが開発したEAP(Extensible Authentication Protocol)の一種で、主にCisco製品や大規模な企業ネットワークで使われていました。脆弱性が見つかっており、現在ではより安全なEAP方式に置き換えられています。
- 強度: 低い
- 推奨度: 非推奨 (特別な互換性の要件がない限り使用すべきではありません
4. WPA & WPA2 (Wi-Fi Protected Access)
WPA/WPA2は、WEPの脆弱性を改善するために導入されました。現在でも広く使われているセキュリティ規格です。
WPA & WPA2 Personal (PSK – Pre-Shared Key)
- 特徴: 家庭や小規模オフィス向けで、事前に設定したパスフレーズ(共有キー)を使って認証・暗号化を行います。
- 暗号化方式には主に TKIP (WPA) または AES (CCMP) (WPA2) が使われます。WPA2はAESを採用しており、TKIPより高い強度を持ちます。 (WPAでもAES、WPA2でもTKIPを利用可能なモードがありますが、WPAの標準はTKIP、WPA2の標準はAES(CCMP)です)
- 強度: 中〜高い (特にWPA2/AES(CCMP)の場合)
- 推奨度: 推奨 (WPA3非対応の機器がある場合はWPA2/AES(CCMP)を選択)
- 補足: WPA2-PSK (AES/CCMP) は、現時点でも非常に堅牢な選択肢の一つです。
WPA & WPA2 Enterprise (802.1x/EAP)
- 特徴: 大規模な企業や学校向けで、ユーザーごとに異なる認証情報(ID/パスワード)と認証サーバー(RADIUSサーバーなど)を使用して認証を行います。Personalよりも高度なセキュリティと管理機能を提供します。
- 強度: 非常に高い
- 推奨度: 推奨 (企業や教育機関などの大規模なネットワークで採用)
5. WPA3 (Wi-Fi Protected Access 3)
WPA3は、WPA2の後継として2018年に発表された最新のセキュリティ規格です。
WPA3-Personal (SAE – Simultaneous Authentication of Equals)
- 特徴: WPA2の脆弱性(Krack攻撃など)に対処し、より強力な暗号化(GCMP (AESベース))と、より堅牢なパスワード認証方式SAEを採用しています。SAEは、パスワードが推測されても盗聴者に意味のある情報を与えない「前方秘匿性」を提供します。
- 強度: 最も高い
- 推奨度: 強く推奨 (ルーターとデバイスが対応している場合は最優先で選択すべきです)
WPA3-Enterprise
- 特徴: Enterprise版もWPA2から強化されており、192ビットの暗号化(GCMP-256)を必須とするモードなどが定義されています。
まとめると、以下の表の通りです。
| セキュリティ方式 | 特徴 | 強度 | 推奨度 |
|---|---|---|---|
| なし | 暗号化/認証なし | 非常に低い | 非推奨 |
| WEP | 古い規格、容易に解読可能 | 非常に低い | 非推奨 |
| LEAP | 古い規格、脆弱性あり | 低い | 非推奨 |
| WPA & WPA2 Personal | 家庭・SOHO向け、WPA2/AESが主流 | 中〜高い | 推奨 |
| WPA & WPA2 Enterprise | 企業・学校向け、RADIUS認証 | 非常に高い | 推奨 |
| WPA3 (Personal/Enterprise) | 最新規格、SAE方式、前方秘匿性 | 最も高い | 強く推奨 |
このように、WiFi接続はWPA3もしくはWPA2を提供しているアクセスポイントに限定するのが推奨されます。
IEEE802.11の各規格と対応しているセキュリティ方式
Wi-Fi規格はIEEE802.11によって定められていますが、802.11の全ての規格において、全てのセキュリティ方式が利用可能というわけではありません。
各セキュリティ方式(WEP、WPA、WPA2、WPA3)は、Wi-Fiの物理層やMAC層を規定する802.11の規格とは独立して策定されていますが、特定のセキュリティ方式は、特定の802.11規格以降で初めて導入されたり、必須化されたりしています。
つまり、古い規格の機器では、新しいセキュリティ方式を処理するためのハードウェアやファームウェアが備わっていないということです。
| 802.11規格 | 規格名 (通称) | WEP | WPA (TKIP) | WPA2 (AES) | WPA3 (SAE/GCMP) |
|---|---|---|---|---|---|
| 802.11a/b/g | (なし) | 利用可能 | 利用可能 | 利用可能 | 非対応が多い |
| 802.11n | Wi-Fi 4 | 利用可能 | 利用可能 | 利用可能 | 非対応が多い |
| 802.11ac | Wi-Fi 5 | 利用可能 | 利用可能 | 必須 | オプション (Wave 2以降) |
| 802.11ax | Wi-Fi 6/6E | 非推奨 | 非推奨 | 必須 | 必須 |
| 802.11be | Wi-Fi 7 | 非推奨 | 非推奨 | 必須 | 必須 |
そのため、古い規格しかサポートしていない機器では、WPA3ではなくWPA2までしか利用できません。
PCがサポートするWi-Fiセキュリティ方式の確認(ハードウェア/ドライバー)
強固なWi-Fiセキュリティを使用するためには、アクセスポイントと自身のデバイスの両方がそのようなセキュリティ方式をサポートしている必要があります。
ご使用のワイヤレスアダプター(Wi-Fiカード)が技術的にどのセキュリティ規格(WPA3/WPA2など)に対応しているかは、通常、ドライバーの情報を確認することで推測できます。
自身のデバイスがサポートするWi-Fiセキュリティ方式の確認は、以下の手順で行います。
1.ターミナルを開き、ipコマンドでワイヤレスインターフェース名(例:wlan0, wlpXsYなど)を確認します。
ip a(出力の中から、wlanやwlpで始まるインターフェース名を探します。)
2. iw list コマンドで詳細情報を表示します。
iw list | grep -E -i "Supported Ciphers|AKM Suites|SAE" -A 10この出力に、対応している認証・暗号化プロトコルに関する情報が含まれています。
AKM Suites (00-0f-ac):のセクションにPSK(WPA/WPA2) やSAE(WPA3) が含まれているか確認します。Supported Ciphers (00-0f-ac):のセクションに、対応する暗号化方式(TKIP,CCMP,GCMPなど)が含まれているか確認します。Device supports SAE with AUTHENTICATE commandといった記述があれば、WPA3 (SAE) に対応していることが分かります。
例えば、以下のような出力が表示されたとします。
Supported Ciphers:
* WEP40
* WEP104
* TKIP
* CCMP-128
* GCMP-128
* GCMP-256
* CMAC
* GMAC-128
* GMAC-256この場合、以下の対応表から対応しているセキュリティ規格を推測することができます。
| Supported Ciphers | セキュリティ規格 |
|---|---|
| WEP40 | WEP 40 |
| WEP104 | WEP 128 |
| TKIP | WPA |
| CCMP-128 | WPA2 |
| GCMP-128 | WPA3 |
| GCMP-256 | WPA3 (より強力) |
つまり、上記例ではWEP(40、128)、WPA、WPA2、WPA3がサポートされていると推測されます。
なお、WPA3を使用するためには、暗号化方式(Ciphers)のサポートに加え、認証鍵管理(AKM)のプロトコルである SAE (Simultaneous Authentication of Equals) のサポートが必須です。(前述のiw list | grep ... コマンドや、iw list 全体の出力で確認できます)
WPAの認証方式と暗号化方式
| 規格 | 認証鍵管理 (AKM) | 暗号化方式 (Cipher) |
|---|---|---|
| WPA3-Personal | SAE | GCMP-128 / GCMP-256 |
| WPA2-Personal | PSK | CCMP-128 (AES) |
| WPA | PSK | TKIP |
注: ハードウェアが対応していても、Linuxカーネルやwpa_supplicant(Wi-Fi認証を担当するソフトウェア)のバージョンが古いと、最新のWPA3などの機能が利用できない場合があります。Ubuntuの新しいバージョン(20.04 LTS以降など)であれば、WPA3は広くサポートされています。
アクセスポイントのセキュリティ方式の確認
近くにあるWi-Fiネットワークや現在接続中のWi-Fiネットワークがどのセキュリティ方式を使っているかを確認するには、nmcliやwpa_cliを使います。
近くのアクセスポイントのセキュリティの確認
nmcli(NetworkManagerのコマンドラインツール)を使います。
# Bash
nmcli dev wifi list
上記の画像のようにアクセスポイント一覧が表示され、SECURITY列に、各ネットワークが使用しているセキュリティ方式(WPA2、WPA1 WPA2、WPA3、WEP、-- (なし) など)が表示されます。IN-USEカラムで*マークが付いている行が現在接続しているアクセスポイントです。
特定のアクセスポイントのセキュリティ方式の詳細が知りたい場合は、nmcliで接続名を指定します。
nmcli connection show <接続名> | grep 802-11-wireless-security<接続名>は、nmcli connection showで表示される名前(通常はSSIDと同じ)に置き換えてください。
接続中のWi-Fiネットワークのセキュリティ確認
現在接続中のWi-Fiネットワークの状態を詳しく知りたい場合は、wpa_cliコマンドを使います。wpa_cliは、wpa_supplicant(Wi-Fi認証のデーモン)の状態を表示するコマンドで、より技術的な詳細情報が得られます。
# Bash
sudo wpa_cli status出力結果の中から、以下の項目を探します。
key_mgmt: 認証鍵管理の方式(例:WPA2-PSK、WPA-PSK、SAEなど)pairwise_cipher: 個別鍵の暗号化方式(例:CCMP (AES)、TKIPなど)group_cipher: グループ鍵の暗号化方式(例:CCMP、TKIPなど)
例:
key_mgmt=WPA2-PSKかつpairwise_cipher=CCMPの場合、WPA2 Personal (AES) を使用しています。key_mgmt=SAEの場合、WPA3 Personal を使用しています。
注) アクセスポイントがより強固なセキュリティ方式を提供していても、クライアントデバイスがサポートしていない場合、またはその逆の場合、両者がサポートする最も強固な(あるいは共通の)セキュリティ方式が選択・表示されます。
まとめ
Wi-Fiネットワークに接続する際には、各セキュリティ方式の強度について理解した上で、接続機器とアクセスポイントそれぞれが対応している方式を確認することが重要です。
お使いのルーターと接続機器が対応していれば、WPA3パーソナルを最優先で選択してください。
互換性の問題でWPA3が使えない場合は、WPA2 Personal (設定にWPA2のみの選択肢がある場合はそれを、そうでなければWPA & WPA2 Personalを選択し、ルーター側でAES(CCMP)暗号化が有効になっていることを確認) を選択するのが最善です。