なんか知らんがWPA3移行モードの互換性がイマイチっぽい

自宅のWi-Fiを気休め程度にWPA2/WPA3併用、すなわちWPA3-Personal Transition Modeにしてみたところ、一部のクライアントが繋がらなくなった。

※気休めというのは、このモードだとSAEが強制されず普通にWPA2-PSK (AES)が使えるので、WPA3に対応している端末単位ではセキュリティが向上するが、ネットワーク全体としては依然として侵入経路が塞がらず、セキュリティが上がったことにならないから。

繋がらない機器たち

んで。ここまでに確認できているクライアントは2つで、1つめはシャープのホットクックKN-HW16D。6年くらい前に買ったやつ。これはWebで検索すると他にも同事象を訴えている人が複数見つかる。なんならシャープのサイトにも

無線LANアクセスポイントの認証方式が、WPA2/WPA3-Personal になっている場合は、認証方式をWPA2※に変更頂くか、別途WPA2※専用のSSIDを設定頂くことで、接続できる場合があります。

などと書かれている。言っとくけどお前より古いWindows Phone 7.8搭載のIS12Tは普通に使えてるからな？

もう1つは、iOS 6.1.6で動いているiPod Touch (4th Gen) MC544。「いまだに使ってる人いるんですか？IS12Tより更に前のモデルですよ？」はい、ここに。Dockでスピーカーつなげて、別室にある母艦のiTunesライブラリからトップレートのスマートプレイリストだけWi-Fi同期で流し込んで固定のプレーヤーとして使ってます。

その気になればホームシェアリング経由で全楽曲聴けるんですが、ライブラリ内の項目数が多すぎるのでホームシェアリングの接続確立にめっちゃ時間がかかる……。ちなみに似たような使い方してたiPod (5th Gen)はとうとうバッテリーが寿命を迎えてDockに立ててても再起動ループから抜けられなくなりました。

いや古い機械を未だに使っている話は今は別にどうでもよくて。いや、古いクライアントのせいで古いセキュリティ水準を使い続けなければならない、という話ではあるんだけど、その古いクライアントを何に使っているかはどうでもいい。

迂回策と、未来への悩み

というわけで、それらのデバイスには専用のWPA2-Personalオンリー、MACアドレスフィルタリング入りのESSIDを生やし、そちらに参加させることでお茶を濁した。普段使っていなくて検出できていないデバイスとかも検出次第こちらに移していくことになるだろう。

Transition Modeで接続できているクライアントも、WPA3非対応でWPA2のまま接続しているものはそのうちこっちに移していけば最終的には気休めの度合いがもう少しマシになるだろうか。いや、MACアドレスフィルタリング自体あんまり意味がないような……。かといってホットクックに802.1Xを入れるのは無理だろうし……。うーん……。

まぁホットクックはLAN内の他の端末との通信要らないから専用のVLANに隔離してもいいんかなぁ……。iPodみたいにLAN内の他の端末と喋らせたいやつはいっそEAP-TLSにするかぁ……？いや、それ他の端末もEAP-TLSに寄せてくことになるだろうし、自宅のインフラとしては管理が重すぎでは……？

っていうかそもそもエアコンとか、TRADFRI GATEWAYとか、EAP-TLS使えないうえに隔離しちゃうとスマホとの連動に制限が出る機器があるじゃんか。うーん、困った。正直家電枠だしまだまだ相当長く使いそうなんだが、その間ずっとセキュリティリスクを抱え続け、なんなら攻撃されやすさはどんどん大きくなっていくことに……。