サービスセット識別子

サービスセット識別子（サービスセットしきべつし、英: Service Set Identifier, SSID）とは、IEEE 802.11における無線LANの識別子である。端末機器は、通信可能な範囲にある全アクセスポイントからSSID付きのブロードキャストメッセージを受信し、事前の設定に基づいて接続するアクセスポイントを選ぶか、SSIDのリストを表示してユーザーに接続先を選択してもらう。

複数のアクセスポイントが同じネットワークへの接続を提供する場合、同じSSIDを共有する。SSIDはユーザーに対して表示する名前であるため、一般に表示可能なASCII文字を使っている。ただし、規格ではそのような制限はなく、SSIDは1から32オクテットの並びであって、各オクテットの値は任意である。

IEEE 802.11では、端末機器間のアドホック・ネットワークを生成可能であり（アクセスポイントを介さない通信を行うモード）、その場合は端末機器が接続するSSIDを選択し、SSIDのブロードキャストはそのネットワークのメンバーとなっている全機器が擬似乱数的順序で行う。

アクセスポイントによっては、複数のSSIDのブロードキャストをサポートしており、仮想アクセスポイントの生成が可能である。仮想アクセスポイントとは、単一の物理アクセスポイントを複数の論理アクセスポイントに分割したもので、各論理アクセスポイントはそれぞれ異なる設定が可能である。

「SSIDクライアント分離 (SSID Client Isolation)」とは、同じサブネット内にあるクライアント同士が直接通信するのを防ぎ、ファイアウォールをバイパスするのを防ぐことである。

SSIDブロードキャストを無効にすることでセキュリティが強化されるというのは間違いである^[1]。ユーザーから見れば、使用しているソフトウェアによっては "Unnamed Network" などと表示される。いずれにしても、そのネットワークに接続するには正しいSSIDを手で入力する必要がある。

この方法は安全ではない。なぜなら、誰かがそのネットワークに接続するたびにSSIDがクリアテキストで転送されるからである。これは、暗号化していても変わらない。盗聴者はそのネットワークに接続していない状態で盗聴可能であり、誰かが接続するのを待ち、SSIDを盗むことができる。また、気づかれやすいが手っ取り早い方法として、アクセスポイントからのフレームであるかのように擬装して "disassociate frame" を接続中の端末機器に送信し、端末機器が自動的に再接続する様子を盗聴してSSIDを盗むという方法もある。

したがって、これで無線ネットワークが守られると考えるのは危険である^[2]。別の認証を使うのが好ましく、WPAが今のところ最善である。

関連する概念として、基本サービスセット識別子 (Basic Service Set Identifier, BSSID) がある。IEEE 802.11-2007無線LAN仕様によれば、インフラストラクチャモード（常にアクセスポイントを介した通信を行うモード）でのアクセスポイントのMACアドレスと定義されている。これは各アクセスポイント（正確にはBasic Service Set）に固有の値である。

アドホックモードでは、BSSIDはローカルに46ビットの乱数からMACアドレスとして生成、管理される。他の2ビットは、individual/groupビットは0にセットされ、universal/localビットは1にセットされる。

全ビットが1のBSSIDはブロードキャストBSSIDとして使われる。ブロードキャストBSSIDはプローブ要求のときだけ使われる。

SSIDを複数のアクセスポイントで使えるように拡張したもので、ESSIDでは任意の文字を無線ネットワークの識別子として利用する。逆にBSSIDではAPのMACアドレスを無線ネットワークの識別子として利用する。

Wi-Fiのアクセスポイントの識別はBSSIDで行うため、SSIDを持たないネットワークも可能である。長さゼロのSSIDや文字コード0x00のみのSSIDを用いる、もしくは、ビーコン内にSSIDIEを持たずProbe-reqにのみ反応する実装も存在する^[3]。

• BSS-ID - BSSを識別するIDで、48ビットで構成。通常はアクセスポイントのMACアドレスと同じ値になることが多い。

• ESSIDステルス
• SSID（ESS-ID） ステルス機能