ITパスポート 令和8年度 問59：networkに関する問題

答えは c です。

Wi-Fi（無線LAN）は電波で通信するので、何もしないと近くの人に内容を盗み見られる危険があります。そこでデータをぐちゃぐちゃに変換して、正しい合言葉（パスワード）を知っている人しか読めなくします。これが「暗号化」で、WPA2はそのための仕組みです。

手紙を暗号で書いて、鍵を持つ人だけが読める、というイメージです。

👉 覚え方：WPA2＝Wi-Fiの内容に鍵をかける（暗号化）。

ほかの選択肢：a 2本のアンテナで高速化＝MIMOという別技術／b アクセスポイントを隠す＝ステルスSSIDという別機能／d 登録した機器以外を拒否＝MACアドレスフィルタリングという別機能。

なぜこれが正解か

正解は c。WPA2（Wi-Fi Protected Access 2）は無線LANの暗号化・認証方式で、主目的は通信データの暗号化による盗聴・改ざん防止。暗号アルゴリズムにAES（CCMP）を採用し、旧来のWEPやWPA（TKIP）より強固。

各選択肢の解説

• a：複数アンテナで高速化するのはMIMO（11n以降の技術）で暗号とは別。
• b：アクセスポイントの存在を隠すのはステルスSSID（SSID非通知）。
• d：登録MACアドレス以外を拒否するのはMACアドレスフィルタリング。
• c：通信データの暗号化＝WPA2の機能（正解）。

覚え方・ひっかけ注意

WEP→WPA→WPA2→WPA3と世代が進むほど暗号が強い、と一本の流れで覚える。a/b/dはすべて「セキュリティっぽい別機能」を並べた引っかけ。WPA2の核心は“暗号化方式”だと押さえれば迷わない。

理論的背景

WPA2（Wi-Fi Protected Access 2）はIEEE 802.11iセキュリティ標準の商標名であり、無線LAN通信の暗号化と認証を提供するセキュリティプロトコルである。WPA2の核心技術はAES（Advanced Encryption Standard）を用いたCCMP（Counter Mode with Cipher Block Chaining Message Authentication Code Protocol）暗号化方式であり、前世代のWEP（RC4暗号・実質破られている）・WPA（TKIP暗号・脆弱性あり）に対して数学的に強固な暗号化を実現している。

WPA2には2つの動作モード：パーソナルモード（WPA2-PSK：Pre-Shared Key）は家庭・小規模オフィス向けで共有パスフレーズを使用。エンタープライズモード（WPA2-Enterprise）は企業・大学向けで802.1X認証（RADIUS認証サーバ連携）によるユーザー個別の証明書認証を使用する。2018年にはWPA3が制定され、SAE（Simultaneous Authentication of Equals）による前方秘匿性（PFS：Perfect Forward Secrecy）の実現・192ビットセキュリティモード等が追加されたが、WPA2は現在も広く普及している。

実務での使われ方

企業のWi-Fiインフラ設計では、WPA2-Enterpriseと802.1X認証の組み合わせが標準的なセキュリティ実装となっている。FreeRADIUS・Microsoft NPS（Network Policy Server）等のRADIUSサーバを使い、証明書（EAP-TLS）またはユーザー名/パスワード（EAP-PEAP/MSCHAPV2）で認証する。端末ごとの認証ログが残るため、不正アクセス追跡・アクセス制御の細粒度化が可能である。

誤り選択肢aの「2本アンテナによる高速化」はMIMO（Multiple-Input Multiple-Output）技術の説明でIEEE 802.11n/ac/axに含まれる機能だがWPA2の機能ではない。bの「アクセスポイントのステルス化」はSSID非通知設定の説明であり、セキュリティ効果は限定的で暗号化機能であるWPA2とは別機能。dのMACアドレスフィルタリングはアクセス制御機能であり、暗号化機能のWPA2とは別の機能。

試験での位置づけ

WPA2は無線LANセキュリティの最頻出トピックで、WEP→WPA→WPA2→WPA3の暗号化技術の進化と各世代の特徴・脆弱性の整理が問われる。「暗号化＝WPA2」「高速化＝MIMO」「フィルタリング＝MACアドレスフィルタリング」「ネットワーク識別＝SSID」という機能と技術の対応関係は確実に覚える必要がある。2022年以降のITパスポート試験ではWPA3やIEEE 802.11ax（Wi-Fi 6/Wi-Fi 6E）の出題も増加傾向にある。基本情報技術者試験ではWPA2のKRACK攻撃（Key Reinstallation Attack、2017年発見）やWPA3のDragonblood攻撃等の既知脆弱性、PMF（Protected Management Frames）・SAEハンドシェイクの仕組みまで問われることがある。

選択肢の発展補足

WPA2のKRACK攻撃（2017年）は4-wayハンドシェイクの再送処理に脆弱性があり、暗号鍵の再インストールを強制することで通信の一部を復号可能にする攻撃である。パッチ適用で対策可能であり、WPA2自体の廃止には至っていない。WPA3のSAEはディフィー・ヘルマン鍵交換ベースの認証プロトコルで、パスワード推測攻撃（オフライン辞書攻撃）に耐性があり前方秘匿性を提供する。SSID非通知（ステルスモード、選択肢b）は「初心者を排除する」程度の効果しかなく、Wiresharkでのパケットキャプチャでビーコンフレームを解析すればSSIDは容易に特定される。MACアドレスフィルタリング（選択肢d）も同様に、MACアドレスはOS設定で容易に偽装（スプーフィング）可能であるため、セキュリティ対策として過信は危険である。これらの補助的対策はWPA2暗号化の代替にはならない。