デバイス問わず

d Wi-Fi

先日より実質だれでも無料でドコモの公衆無線LANが利用可能となるサービス、d Wi-Fi が提供開始されました。

ドコモの回線契約がなくてもタダで使えたり、1アカウントで5台まで同時接続できたり(昔はdocomo Wi-Fiでも複数台つかえたのに……)と大変便利なサービス。

一方で、d Wi-Fi は従来のdocomo Wi-Fiと同じSSID (0000docomo/0001docomo) を共有するサービスです。つまりは従来契約者しかわからなかったはず(といっても探せばそこらじゅうで漏れちゃってますが) のWPA2-PSKのセキュリティキーは正式に誰でもみれてしまう状態です。つまりは、0000docomo での接続については証明書検証などによるAPの正当性の確認を行わないことによるなりすましの可能性や、鍵交換の傍受による通信の傍受などの可能性が高くなるかもしれません。(当該の状況でこれらが実際に可能なのか検証などはしていませんが、VPNの利用が推奨されるのは主にこのためです)

0001docomo の WPA2-EAP を利用した接続(802.1X認証を用いた鍵交換)であればこのリスクが多少は改善できることが期待できます(かならずしも安全ではありませんが)。プレスリリースでは0001docomoはSIM認証でのみ利用可能なような記載がありますが、実際はそんなことはなくWPA2-EAPの利用可能な機器であれば大抵の場合において利用が可能です。もちろん、今回の d Wi-Fi に限らず、従来のdocomo Wi-Fi においても同様に利用可能です。新幹線車内のような一部のサービスエリアではこちらは提供されていません(固定回線と比べ不安定なキャパの占領を抑える様々な理由が想像できます……)が、利用可能な場合は優先的に利用しています。

また、EAPで接続している場合は面倒なWebログインが必要ありません。アクセスポイントに接続すればすぐに作業が開始できます。

802.1X認証(PEAP)を利用して接続する

SIM認証(EAP-AKA’など)を利用しないで0001docomoに接続する方法は、ドコモ公式からはパソコンやその他Wi-Fi対応機器の場合の接続方法 | d Wi-Fi においてWindows 8/8.1/10、macOS(なぜか表示バージョンが古い) における利用方法が掲載されています。(なお、これはdocomo Wi-Fi における設定方法のほぼほぼ流用の模様) 前述のとおり、ここに記載されているOS以外であっても同様の設定を行うことによって0001docomo を利用することが可能です。過去の私の所有端末における動作実績としては Windows、macOS に加え(ドコモ契約SIMのない)Android、iOS、iPadOS端末やLinux PC(NetworkManager) において確認をしています。

このエントリでは、Linux PCにおいてNetworkManagerのGUI(KDE)を用いて0001docomoへの接続までします。

まずは申し込み

既存のdアカウントで d Wi-Fi を利用するには回線契約の有無に関わらず、サービスの申し込みが必要です。新規の回線をドコモショップ等で契約する際にはもしかすると勝手につけてくれるかもしれません。また、dアカウントの発行やdポイントカードの利用登録(プラスチックカードは不要)は必要らしいので先に。

それらの登録を済ました上で申し込みページにアクセスし、手続き内容の選択、注意事項や規約への同意、申込確認メール送信先メールアドレスの選択と必要に応じてフィルタリングの利用などを選択します。

パスワードの設定

申し込めたら d Wi-Fi の設定画面を開き、ログインに用いるパスワードを設定します。IDはdアカウントのIDが使われるが、パスワードはここで別途設定が必要です。初期状態では設定されていませんが、この場合SIM認証(EAP-SIM/EAP-AKA’)などしか利用できない状態。

ここで設定するパスワードはブラウザからのログインや802.1X認証で共通して使用することになりますが、802.1X認証に用いるMS-CHAPv2は簡単に解析できてしまうので不正なAPに接続した際にパスワードが流出したりしてもそのリスクをなくすためにも他でつかっていないユニークなパスワードを設定しておきましょう。設定したパスワードはいつでもこのページで平文で確認可能なので802.1X認証のみで使うのであれば特に、このパスワードを覚えておく必要はありません。

同設定ページからは0000docomoのPSKやフィルタリングの申し込み、ログイン履歴の確認ができるらしい。(でも802.1Xはログイン履歴に出ない)

NetworkManager で 0001docomo に接続する

0001docomo の飛んでいるエリアであれば利用可能な接続からそれを選んですすめていってもだいたい同じですが、既にspmodeの方を設定していてそれができず、また対して手間も変わらないので手動で設定した際の手順を掲載します。

まず、ネットワークの新規設定からWiFiを選択し、あたらしいプロファイルを作成します。

適当な接続名を設定しておき、SSIDを「0001docomo」、モードがインフラストラクチャ(nm-connection-editorでは「クライアント」)、BSSIDは空になっている状態にしておきましょう。(Spot毎に異るはずなので……)

MACアドレスの設定はお好みで。端末のをそのままつかわなくてもいいが、台数制限もあるので毎回変わりはしないほうが……

Wi-Fiセキュリティタブを開き、WPA/WPA2エンタープライズを選択。

認証ではPEAPを選択します。

CA証明書はとりあえず接続する分にはデフォルトのまま選択しなくても問題ありません。ただし、その場合信用できないAPにログイン情報を送信してしまうリスクが発生するため最初にだらだらと書いた安全性の懸念が再来してしまうとも言えるでしょう。()おそらくWindows向けの手順に記載されているCA証明書を纏めてバンドルし、それを指すように設定しておけばいいはずですが確認ができていないのでここでは一旦無視します。

ユーザー名にはdアカウントのIDの後ろに -dwifi@docomo を付加したもの、パスワードは先程設定したもの。