昨今、無線LANによるネットワークの利用が増えています。
現在でも一般的には300Mbps(理論値)が利用できますし、最近NTTが1GHzの無線LANに成功した
(*1)との記事も発表されました。
それくらい高速になると、有線を使ったLAN(有線LAN)と遜色無い通信ができるようになり、また配線も不要となるため、今まで有線LANで利用していたが無線LANに切り替えたという事例も増えているのではないでしょうか。
しかし、ただ安易に便利だからということで、何も考えずに導入してしまうと通信の盗聴や不正な利用等のセキュリティ的な問題が発生します。
今回はこのことについて述べたいと思います。
なお、今回は一般的に無線LANと呼ばれるものを取り上げ、以下のものは対象といたしませんのでご了承ください。
- 公衆無線LAN
- 電波以外を利用した無線LAN
- 無線局免許がいる無線LAN
無線LANは通常、暗号化を行って通信します。
暗号化をかけないと誰でもその無線LANを使えることとなり、かなり危険です。
自分では暗号化を掛けた覚えがない人もいるかも知れませんが、最近の無線機器では最初から暗号化がかかっています。
ここで、無線LANの暗号化方式には、一般的に WEP、WPA、WPA2があります。(独自方式や無線に特化しない方法は除きます)
右に行くほど、より新しく、安全性も高い規格となります。
また、新しい規格は暗号化処理も複雑さが増すため、古い機器や安価で費用が掛けられない機器はWEP等の古い規格しか対応していない場合があります。
|
|
|
WEP WPA WPA2
|
|
|
規格
|
古い
|
→→→→→→→→→→→→→→
|
新しい
|
|
安全性
|
低い
|
→→→→→→→→→→→→→→
|
高い
|
|
処理の複雑さ
|
簡単
|
→→→→→→→→→→→→→→
|
難しい
|
|
通信速度
|
速い
|
←←←←←←←←←←←←←←
|
遅い
|
|
暗号化方式
|
安全性
|
対応機器
|
暗号方式(*3) |
概要
|
|
WEP
|
×
|
◎
|
RC4
|
Wired Equivalent Privacyの略
無線LANが普及し始めた頃の規格。
現在ではほとんどの無線LAN機器が対応しており、ゲーム機であるニンテンドーDSも対応する。
昔から脆弱性を指摘されており、2008年に10秒で解読されてしまう論文が発表されたことで危険性がより叫ばれるようになった。
|
|
WPA
|
WPA-TKIP
|
△
|
○
|
RC4
|
Wi-Fi Protected Access - Temporal Key Integrity Protocolの略
WEPの脆弱性に対して対応する必要があったため、Wi-fi Allianceにて早急に作成された暫定的な規格。
TKIPの暗号化方式はWEP対応チップでも対応可能な場合があるため、パソコン等のアップデートが可能な機器ではWPA-TKIPにも対応できる場合も多い。
TKIPの暗号化方式は脆弱性が懸念されるため、AESほどの安全性はない。
|
|
WPA-AES
|
○
|
△
|
AES
|
Wi-Fi Protected Access - Advanced Encryption Standardの略
WPAの暗号化方式にAESを使った規格。WPAにおいてAES対応は任意のため、無線機器によってはAESに対応しない場合もある。
また、AES系は無線LANチップ側も対応する必要があるため、昔の無線LAN機器では対応できない場合がある。
現時点ではAESへの脆弱性は見つかっておらず安全性が高い。
|
|
WPA2
|
WPA2-TKIP
|
△
|
△
|
RC4
|
Wi-Fi Protected Access 2 - Temporal Key Integrity Protocolの略
WPA2の暗号化方式としてTKIPを使った規格。
TKIPの暗号化方式は脆弱性が懸念されるため、AESほどの安全性はない。
|
|
WPA2-AES
|
○
|
△
|
AES
|
Wi-Fi Protected Access 2 - Advanced Encryption Standardの略
暫定的な規格であるWPAの正式規格。より安全性のある規格となった。
AES系は無線LANチップ側も対応する必要があるため、昔の無線LAN機器では対応できない場合がある。
|
|
表2. 無線LANの暗号化方式一覧
|
無線LANは便利です。
わざわざLANケーブルを探さなくて良いですし、接続したまま移動することができます。
また、LANケーブルを縦横無尽に設置しなくても良いですし、設置したLANケーブルが絡み合うこともありません。
しかし、安易に使うと通信の盗聴や不正な利用といった悪意のある使われ方をされる場合があります。
有線LANとは違い、無線LANは50m〜100mの通信が可能なため、外部に電波が漏れてしまうため、どうしても外部からの不正アクセスが可能となります。
その不正アクセスとは、例えば次のようなことです。
- 社外秘の重要なデータを外部に流出し、情報漏洩されてしまう。
- 自分のパソコンの中にあるメールや文書ファイル等の機密情報を覗かれてしまう。
- インターネット上のサイトに不正攻撃を行うためのインターネット回線として無断で使われてしまう。
社内はもちろん、顧客や取引先にも大きな損害を与えてることになります。
無線LANの暗号化を利用していない場合は論外ですが、暗号化している場合でも、その暗号化方式によっては危険な場合があります。
それは、暗号化としてWEPを利用している場合です。
WEP方式の暗号化は問題があり、暗号キーを10秒で解読されてしまう方法も発見されています。
また、不正にWEPの暗号キーを自動解読するツールも入手できますので暗号化解読と知識がなくてもボタンを押すだけで不正アクセスされてしまう可能性があります。
※ただし、現状では10秒で解読されてしまう方法については公開されていません。公開されている自動解読ツールは今のところ解析に10分くらい時間がかかるものだけです。しかし、論文は発表されてるため、今は対応していなくても将来10秒で解読してしまうツールが公開されてしまうことも考えられます。
暗号キーを解読されてしまうと、暗号化していない状態と同じことになり、非常に危険です。
また、WEPを使う上で、暗号キーの長くする、SSIDの隠蔽化、MACアドレスの制限、WEPの回線独立化という対策がありますが、厳密にはどれも安全とは言えません。(ただし、これを行うだけでも効果はあります)
WEP暗号キーの長さを長くする
WEP暗号キーは、64ビット、128ビット、152bitビットの長さがあります。
基本的には、長くすればするほど安全性は高くなります。
しかし、WEPの脆弱性自体が暗号キーが長さにあまり影響されないため、現在では長くしてもあまり効果ありません。
SSIDの隠蔽化(ESSIDのステルス化)
これを行うとWindows等の無線LAN接続先として一覧に出てこなくなります。
しかし、単にこれは無線LAN一覧として出てこなくなるだけです。
通信自体を解析された場合は、すぐにSSIDは分かりますので不正アクセスのターゲットとされてしまいます。
MACアドレスの接続制限
これを行うとその無線LANに接続できる機器を制限できます。登録された機器以外からの通信を拒否します。
しかし、通信を解析され、通信しているMACアドレスを調べられたら対処できません。
機器によっては通信カードのMACアドレスを任意に変更できます。そうすると正式に登録した機器を使っていない間に不正利用される可能性があり、万全ではありません。
WEPの回線独立化
WEP機器だけLAN側にはアクセスできないようにして、盗聴や情報漏洩の危険性を回避する方法です。
実際にそういった機能を持った一般向けルーターが販売されています。(WEPにしか対応しないニンテンドーDS等の通信機能を利用するための機能)
この方法は盗聴や情報漏洩は防げますが、インターネット回線の不正利用については防ぐことはできません。
企業向けの対策を利用する
IEEE802.1X認証利用やIPSecによるVPN化等を利用する方法です。
しかし、専用の機器が必要となりますのでそれなりの費用が必要ですし、設定によっては盗聴は防げても不正接続が防げなかったり、不正接続は防げても盗聴が防げなかったりする等の問題もあります。
それでもどうするかということですが、脆弱性があるWEPは使用せずに、より高度の暗号化を使うことです。
その中でも、暗号化方式AESを使った方式である「WPA-AES」や「WPA2-AES」の使用をお勧めします。
※TKIPについては一部脆弱性が発見されているため、あまりおすすめできません。
なお、企業等の重要性が高いネットワークでは、WPA2-AESとIEEE802.1X認証を併用するシステムの導入をお勧めします。
街中で無線LANを検索してみると分かりますが、現在でも半数以上の方が「暗号化なし」または「WEP」を使用している状況です。
試しに当社の近くでWindowsの標準機能で表示される無線LANの一覧を見たところ、このような結果になりました。
| 暗号化方式 |
一覧に出てきた無線LAN |
安全度 |
| 暗号化なし |
2ヶ所 |
× |
| WEP |
11ヶ所 |
× |
| WPA |
5ヶ所 |
○ |
| WPA2 |
2ヶ所 |
○ |
|
表3. 検出された無線LANの数
|
※フリースポットのアクセスポイント関連は除きます。
自分は暗号化しているから大丈夫と思っている方もいらっしゃると思いますが、一度、セキュリティの設定を確認されることをお勧めします。
また、自分のところは地方だからそんなことは無関係という方もいらっしゃるかもしれませんが、無線LANは屋外では150m(ハイパワー系の11nだと250m)もの距離で通信できる場合もありますので、かなり離れたところから不正アクセスされる場合もあります。
