無線LAN
職場,家庭,街頭における無線LAN環境が広く普及してきており,ネットワークの利用がますます便利になってきていますが, 無線 LANを利用する場合,セキュリティ上注意すべき点があります.
なお.無線を使ったネットワークの全体に関しては 無線ネットワークを,携帯電話ネットワークに関しては 移動体通信システム を参照下さい.
無線LANには大別すると次の2つの危険があります.
- 不正利用
広く普及しているIEEE802.11b規格の無線LANの場合,アクセスポイントからの有効通信距離は,最大100m程度である. 間に壁などの遮へい物があったとしても40~50mは届き,この通信可能範囲に入っていれば基本的に誰でもそのアクセスポイントに,ひいてはそこに構築されているネットワークに接続できてしまう. このネットワークの不正アクセスは,有線のネットワークでも起こりうるが,無線LANの場合は物理的なケーブルの接続の必要がなく容易に実行できる.
- 盗聴
無線を使ってデータをやり取りする無線LANでは,当然ながらデータが“無線”でやりとりされている.たとえネットワークに侵入できなくても,これを傍受することで情報を盗むことができる.盗まれた情報を基に,不正にネットワークに侵入されることもありうる.
無線LANの危険に対して,次のようなセキュリティ対策があります.
- ESSID(無線LANネットワークのグループ名)
ESSID(Extended Service Set-IDentifier)とは,無線LANにおけるLANをグループ分けするための識別名である. SSID(Service Set ID)とも呼ばれる. 同じ ESSIDが設定されているアクセスポイントとクライアント間でのみ通信を行うことができる.
通常,アクセスポイントには初期状態で任意の文字列がESSIDとして設定されているが,多くはメーカー名や製品名そのもの,あるいはそれらが推測できるものになっているため,変更することが望ましい. IDを変更する意味は,アクセスポイントのメーカーや機種を特定されるような情報を極力排除する点にある. このような余計な情報を第三者に与えないというのはセキュリティ対策の常道であり,また,機種固有の脆弱性を狙ったクラッキング行為を防止する上でも重要になる.
ESSIDは,基本的にはセキュリティ機能ではなく,初期状態では外部から検索することができる. アクセスポイントには,ESSIDステルス機能(隠蔽機能)を持つものがあり,これを利用すると他のクライアントからのネットワーク参照に応答しないようにでき, ESSIDを知らない第三者からの不正アクセスを防ぐことができる. また,ESSIDに「ANY」を設定したクライアントやESSIDを空欄にしているクライアントからの接続を拒否するように設定することが重要である.
- MACアドレスによるアクセス制限
MAC(Media Access Control)アドレスとは,LANカードのようなネットワーク機器に設定されている番号のことで,メーカーごとの識別番号とメーカーが割り当てる番号とからなっており,世界中に同じMACアドレスは存在しないようになっている.
これを利用して,アクセスポイントにあらかじめ通信できるMACアドレスを登録しておき,登録されていないMACアドレスを持つ機器からの接続を拒否する機能が,MACアドレスフィルタリングである. ただし,MACアドレスは詐称することができるため,過度の期待は禁物である.
- 暗号通信機能
- WEP
WEP(Wired Equivalent Privacy)は,最初の無線LANの暗号化規格である. WEPキーと呼ばれる暗号化するための鍵(暗号鍵)を,アクセスポイントと通信相手のクライアントの両方に登録する. WEPキーとしては,半角英数字5文字(40ビット)のものと13文字(104ビット)のものの2種類がある. 実際には,送信側が生成する24ビットのIV(Initialization Vector)と呼ばれる乱数と登録したWEPキーを合わせたものを最終的な暗号鍵として,送信データの暗号化が行われる.
WEPの場合,暗号鍵を構成する一部(WEPキー)が固定であり,毎回生成される乱数部分(IV)の長さが24ビットと短いため,解読されてしまう可能性が高い,つまり脆弱であるといわれている. しかし,家庭内の利用を前提とすれば,WEPキーとして104ビットのものを使いWEPキーそのものも定期的に変更すれば, 一般的な盗聴防止対策にはなる.
- WPA
WPA(Wi-Fi Protected Access)は,無線LAN関連の業界団体Wi-Fi(Wireless Fidelity)アライアンスが策定した規格である. 企業向けと一般向けの2種類の規格があり,個人利用では一般向けの規格が利用される.
WPAでは,TKIP(Temporal Key Integrity Protocol)と呼ばれる暗号化処理が行われる. 暗号鍵を生成するために,IV(48ビット),MACアドレス(48ビット),ユーザが登録する一時鍵(128ビット)の3つを利用し,最終的に128ビットの暗号鍵を作り出し暗号化 (RC4) が行われる. WPAでは,IVを倍の長さにしユーザが登録する一時キーの長さも最初から128ビットにするなど,WEPに比べて強固な暗号化処理が行われる.
WPAには,オプションとして AES暗号のサポートが加わっている.
- WPA2
WPAは,IEEE802.11i が標準化されるまでの暫定的な規格であり,標準化作業の完了によりその内容が反映されて WPA2 が策定された. WPA2は,WPAの機能強化版の位置づけであり,暗号化方式に CCMP(Counter-mode CBC-MAC Protocol)を採用している.また,暗号方式にはアメリカ標準技術局(NIST)が定めたAES暗号が用いられる.現在では,WPA2 認証を受けないと "Wi-Fi CERTIFIED" は名乗れない.
- WPA3
WPA3 は,WPA2 のセキュリティを拡張した規格で,以下の4つの新機能が搭載されている.
- 複雑ではないパスワードを設定した場合にも弾力性のあるパスワードベースの認証機能を提供
- ディスプレイなど設定のないデバイスに対するシンプルなセキュリティ設定機能の提供
- デバイスとルータやアクセスポイント間で個別にデータを暗号化
- IEEE 802.1x 認証サーバを利用する WPA3エンタープライズでは,通信暗号化アルゴリズムの選択肢として新たに 192ビットのCNSA(Commercial National Security Algorithm)も追加される.
また,WPA3 では鍵の交換に SAE(Simultaneous Authentication of Equals:同等性同時認証)というプロトコルを採用している(楕円DHによる鍵交換).これにより,認証パスワードへの推測攻撃が事実上不可能になる.さらに,パスワードが攻撃者に漏洩/解読されても,過去に取得(盗聴)された暗号化トラフィックの内容が解読されない Forward Security も実現されている.
- 認証方式
- エンタープライズ
EAP (Extensible Authentication Protocol) は,ユーザ認証に IEEE 802.1X を利用する方式である. 認証方式は複数あり,代表的なものは以下である.
- EAP-MD5:IDとパスワードで認証する方式.パスワードはチャレンジ&レスポンス方式で暗号化される.
- EAP-PEAP:サーバ側の電子証明書を用いて認証し,TLS暗号化通信とEAP通信を組み合わせてクライアント認証を行う
- EAP-TLS(Transport Layer Security):サーバとクライアントの両方に搭載された電子証明書を用いる.IDやパスワードは使用されない.
- パーソナル
親機と子機の接続は,事前共有鍵 PSK (Pre Shared Key),いわゆるパスワード により認証する (8文字以上 63文字以内,21文字以上を推奨). 暗号化方式と合わせて"WPA2-PSK(AES)" や "WPA-PSK(TKIP)" のように表記される.
なお,WPA3 では上述の SAE プロトコルが使われ,より安全な方式が採用されている.
無線LAN設定の自動化 (WPS)
無線LAN機器の接続とセキュリティの設定を簡単に行うための規格が WPS (Wi-Fi Protected Setup) であり,Wi-Fiアライアンスにより仕様が定められている.
押しボタン(PBC方式) または暗証番号の入力(PIN方式) だけで端末が無線LANアクセスポイントから設定情報を自動的に取得できる.
- 押しボタン方式 (PBC:Push Button Configuration)
アクセスポイントと端末のそれぞれについて,ほぼ同時(数十秒程度以上)にボタンを押すことで「接続要求のある端末」を識別し,特殊なパケットを交換して秘密情報を共有する.
- 暗証番号方式 (PIN:Personal Identification Number)
アクセスポイントと端末のそれぞれに,4 ないし 8 桁の同じ暗証番号を設定する. 暗証番号は,アクセスポイントと端末のどちらかで乱数生成された値(製造時のデフォルト値または自動生成値)を他方に設定する.
いずれの方式も,外部からは知り得ない情報を用いて鍵交換を実現している.PBC 方式の場合は「ボタンを押した時間」,PIN 方式の場合は「暗証番号」である.
- 無線LANを使うにあたっては,アクセスポイントに備わっているセキュリティ機能をできるだけ設定する. 一般家庭での利用ならば,オフィスなどで利用する場合と違いセキュリティがそれほど高くない環境にしても問題は起こり難い.
- WEP や WPA(WPA2)といった暗号化処理機能は必ず有効にする."WPA2-PSK (AES)" または "WPA-PSK (AES)"を使うことが推奨される.
利用可能ならば,WPA3 を用いるのがより安全である.
- やむを得ず,セキュリティの低いWEPで運用する場合は,WEPキーは104ビットとし,定期的に変更するようにする.
- ESSID の隠蔽機能により,第三者からアクセスポイントの存在を隠すようにする.
- 事前共有鍵を設定する場合,文字列はできるだけ長く最低でも20文字以上にする.
- 暗号化を設定していない親機には子機を自由に接続できるが,通信は傍受される危険がある.敢えて親機を開放して利用者を誘導し,通信データやファイルを盗み出そうとする場合もある.