Windows10のエクスプローラでネットワークを表示すると見知らぬ電話が表示される

PC セキュリティ

 Windows10のエクスプローラでネットワークを表示すると、全く心当たりのない見知らぬ電話が表示されていることに気が付きました。
Strange phone (LenovoTB3-X70L) appears in Windows Explorer

 "LenovoTB3-X70L"と表示されており、右クリックからプロパティを表示させることが可能で、当該機器のMACアドレスを特定することができましたが、全く心当たりのない機器です。

 当初、WiFiルータのパスワードが破られ、ネットワークに不正侵入された可能性を疑いましたが、調べてみるとそういったわけでは無さそうです。
 

当初採った策

 特に何もしなくても、体感では数十秒から1分程度でエクスプローラ上の表示から"LenovoTB3-X70L"は消えました。

 とは言え、今後も再度不正アクセス(?)の可能性が有ると考え、不審な機器のMACアドレスは特定できているため、取り急ぎルータの管理画面からMACアドレスフィルタリングをかけ、当該MACアドレスの機器からの接続制限をかけました。
 MACアドレスを偽装されて再度不正アクセス(?)される可能性は残りますが、LenovoTB3-X70Lは検索してみると普通のAndroidタブレットのようですので、root化などしていなければMACアドレスを偽装するのは困難なはずですので、とりあえずは前述のMACアドレスフィルタリングによる接続制限のみで様子を見ることにしました。
 

再発1

 しばらくすると、今度は"RAIJIN"と表示された電話が出現したことに気が付きました。
Strange phone (RAIJIN) appears in Windows Explorer

 名称や製造元から察するに、最近楽天に買収されたMVNO事業者のFREETELブランドのAndroidスマートフォンのようですが、この端末も心当たりはありません。
 今回も当該機器のMACアドレスに対して接続制限をかけると共に、WiFiルーターのパスワードも変更しました。
 

再発2

 またしばらくすると、今度は"M2-802LD"と表示された電話が出現したことに気付きました。
Strange phone (M2-802LD) appears in Windows Explorer

 今度はdocomoがdtabブランドで販売しているHuaweiAndroidタブレットのようですが、やはり心当たりのない端末です。
 

調査

 上記は1時間程度のうちに発生しており、もし不正アクセスされているのだとしてもあまりにも短期間で再発しており、常識的には考えにくい状況です。
 私の無線ルータはWPA2-Personalで暗号化しており、悪意を持って侵入を試みられているのだとしても、パスワードを再解析して再侵入してくるまでの時間が短すぎます。また、ルータのログにもブルートフォースアタックを受けたような認証失敗のログは出力されていません。

 ということで検索してみると、Windows8辺りから同じような事象が発生しているユーザが国内外に存在するようです。
 英文記事ですが以下の投稿に比較的詳しく原因が説明されているように感じました。端的にはWindowsWPSパケットの取り扱い方法に起因する事象のようです。
Fix: Unknown and Strange Devices Showing Up on Network - Appuals.com
 

恒久的な対策

 上記英文記事や各種QAサイトによれば、2通りの対策方法があるようです。
 

対策方法1

 ルータのWPS機能を無効にする。

 私の環境では、もともと無線LANのパスワードは手入力しておりWPS機能は使用していないため、無効にすることにしました。この方法で当該事象が発生しなくなったことを確認しました。
 

対策方法2

 "Windows Connect Now - Config Registrar"サービスを無効化する。

 このサービスは以下のように説明されています。
Windows Connect Now - Config Registrar service

WCNCSVC は、Wireless Protected Setup (WPS) プロトコルMicrosoft による実装である Windows Connect Now の構成をホストします。Windows Connect Now を使用すると、アクセス ポイント (AP) またはワイヤレス デバイスのワイヤレス LAN 設定を構成できます。このサービスは、必要に応じてプログラムによって開始されます。

 説明を読む限りでは、このサービスがWPSでやりとりされるパケットをWindowsで扱う機能のようです。なので、これを無効化してしまえばWPSパケットを送出してきた端末が表示されることも無くなるのでしょう。
 ルータ側でWPS機能を無効化できず、ネットワーク内のWindows端末数も多くないのならこちらの策を撮るのも良さそうです。

サービス停止コマンドの例

C:\WINDOWS\system32>net stop "Windows Connect Now - Config Registrar"
Windows Connect Now - Config Registrar サービスを停止中です.
Windows Connect Now - Config Registrar サービスは正常に停止されました。

サービス開始コマンドの例

C:\WINDOWS\system32>net start "Windows Connect Now - Config Registrar"
Windows Connect Now - Config Registrar サービスを開始します.
Windows Connect Now - Config Registrar サービスは正常に開始されました。

 



以上。