無線LANのセキュリティ

wep_004_R

いまだに使われるWEP

キーマンズネットが、2015年5月末から6月上旬にかけて企業の無線LANの導入状況についてアンケート調査をしました。その報告を見ると、およそ6割の企業無線LANが導入されているものの、2社に1社がセキュリティ対策に問題があるようです。

報告では、企業の行っているセキュリティ対策は、MACアドレス・フィルタリング+WEPが34.4%、PSK(※1)+AES(※2)が18.6%、IEEE 802.1x認証(※3)+AESが17.0%、WEPのみが9.9%、MACアドレス・フィルタリングのみが7.9%となっています。

wep_002_R

(キーマンズネット http://www.keyman.or.jp/at/30007875/ より)

この中で危険と思われるのは、MACアドレス・フィルタリング+WEPの34.4%、WEPのみの9.9%、MACアドレス・フィルタリングのみの7.9%だろうと思われます。これらを合わせると50%を超えています。

総務省が2013年1月に公表した「企業等が安心して 無線LANを導入・運用するため」では、WEPについて次のように記しています。

その他の情報セキュリティ規格として、IEEE802.11により規格化されているWEP(Wired Equivalent Privacy)があるが、現在では様々なぜい弱性が明らかになっており、容易に暗号が解読されるおそれがあるなど情報セキュリティ対策としての有効性を既に失っていることから、本手引書では有効な情報セキュリティ対策として取り扱わないこととする。

また、MACアドレス・フィルタリングについても次のように記しています。

MACアドレスを利用した情報セキュリティ対策として、端末のアクセスポイントへの接続を端末のMACアドレスによって 制限するMACアドレスフィルタリングがあるが、MACアドレスを偽装することは可能であるため、企業等の組織が無線 LANを運用する際の情報セキュリティ対策としての有効性は乏しい

WEPや MACアドレス・フィルタリングは、2013年の時点ですでにセキュリティ対策としては時代遅れであり問題外とされているわけですが、そうしたものがいまだに使っているというわけです。

(※1)PSK認証は、端末及びアクセスポイントにおいて事前に設定・共有されているパスフレーズから鍵を生成し、端末及びアクセスポイントを認証する方式です。同一のアクセスポイントに接続する端末では、共通のパスフレーズを設定する必要があることから、パスフレーズが外部に漏えいする危険性や総当たり攻撃等により、パスフレーズを窃取される危険性があります。

(※2)AES(Advanced Encryption Standard)は米商務省標準技術局によって2001年に米国政府の標準暗号化技術として認定された方式です。現在、最も強固なセキュリティー性を持った暗号化方式とされています。

(※3)IEEE802.1X認証は、PPP(Point to Point Protocol)を拡張したEAPイープ(Extensible Authentication Protocol)を採用しており、パスワード、電子証明書等により端末及びアクセスポイント双方、又は端末を認証する方式です。

 

無線LANは2.4GHz帯や5GHz帯の電波を使っていますが、この帯域に限らず電波を傍受することは比較的簡単にできてしまいます(※4)。ですので、セキュリティ対策が不十分だとウェブサイトやメールの内容がパケット単位で丸見えになってしまいます。さらにネットワーク上のサーバ、パソコン、複合機の機密情報が抜き取られたり改ざんされたりということも起きえます。家庭の無線LANだと、その家族に成りすまして犯罪が行われるということも起きるかもしれないのです。ところが、こちらからは傍受している相手が誰なのか全くわかりません。だからこそ、セキュリティ対策が重要なわけですが、無線LANのセキュリティは、送る前に暗号化し、受け取った無線LANアクセスポイント側で復号化するというのが基本となっています。

(※4)ウォードライビングという言葉があります。無線 LAN の電波を検知する機器を自動車に積み込み、不正利用可能な無線 LAN のアクセスポイントを求めてオフィス街を走り回ることです。アクセスポイントが、脆弱な暗号化通信を行っていたり、推測しやすい接続のためのパスフレーズを使っていたりした場合、それを破り接続することができてしまうのです。

3つの暗号化方式

無線LANの暗号化にはWEP(Wired Equivalent Privacy)、WPA(Wi-Fi Protected Access)およびWPA2(Wi-Fi Protected Access 2)の3つの規格があります。

〇 WEP

WEP無線は1997年にLAN 用として最初に策定された暗号化技術です。無線 LAN のアクセスポイントと機器の間で「WEP キー」と呼ばれる鍵データを照合して通信します。しかし、WEPで暗号化のために使われているアルゴリズムは、30年以上も前に開発されたRC4(※5)という古い方式です。古いだけでなく、数分もあれば暗号が解除されてしまうという今となっては脆弱な技術です。ですのでWEPをセキュリティ方式として選択できない製品も登場しています。

(※5)暗号には大きく分けて公開鍵暗号と共通鍵暗号があります。 公開鍵暗号は、他人に見られても大丈夫な鍵(公開鍵)と自分だけが知っている鍵(秘密鍵)のペアを使って暗号化するもので、RSAなどがあります。共通鍵暗号は送信者・受信者で共通の鍵を使って暗号化するもので、さらにブロック暗号とストリーム暗号に分けられます。 ブロック暗号の代表的なものはAESです。ストリーム暗号の代表的なものがRC4です。

〇 WPAとWPA2

WEPの脆弱性を受けて開発されたのが「WPA」と「WPA2」です。

WPAではWEPをより強力にした「TKIP」(Temporal Key Integrity Protocol)(※6)、WPA2ではさらにAES(Adanced Encryption Standard)を元にした「CCMP」(Counter mode with Cipher-block chaining Message authentication code Protocol)(※7)が暗号化方式として採用されています。しかし、TKIPは暗号技術がWEPと同じであることなどから脆弱性も発見されています。より強力なCCMPを使うWPA2か、WPAでTKIPの代わりにCCMPを使うことが推奨されています。

wep_003

(IPA 独立行政法人 情報処理推進機構.https://www.ipa.go.jp/security/ciadr/wirelesslan.html より)

 

wep_005_R

(テレビ受信向上委員会 http://tvkoujou.hotcom-web.com/?activity=2-3-3-%E7%84%A1%E7%B7%9Alan%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3 より)

(※6)TKIPは、暗号鍵は一定量の通信が行われると破棄して新たな鍵を生成するということを繰り返して暗号解読を防ぐ暗号化方式です。暗号化はソフトウェアで処理するため、AESに比べて処理時間が長くなります。また、RC4を使っていることもあり、特殊な条件下において通信の改ざんが可能であることが報告されています。

(※7)CCMPは電子署名を使った改ざん検出の仕組みで、WPAでは、TKIPを標準、CCMPをオプションの規格、WPA2ではCCMPを標準、TKIPをオプションの規格としているようです。

企業における具体的な対応

独立行政法人情報処理推進機構技術本部セキュリティセンターの「無線LAN<危険回避>対策のしおり」では、企業内で無線LANを使用する際の具体的な対策として次のことを挙げています。

□ 用意された最強の暗号化設定(WPA2-PSK)を利用しよう

□ パスフレーズは推測されにくく、ブルートフォース攻撃対策としてある程度の長さ(20 文字以上)が必要

□ さらなるセキュリティ強化を実施するなら、無線LANスイッ チと認証サーバを利用しよう(多重防御)

□ 万が一の場合に迅速に対応出来るようにするため、ログを収集しておこう

□ 実際の利用者である従業者に対して、新しい環境(無線LAN環境)についてのセキュリティリスクの説明や利用基準等を教育しよう

□ 企業内からの無線LAN電波の漏れを防ぐなら、無線LAN機器の性能を把握し、事務所スペース等に見合った装置を選択するか、電波の漏れない環境を構築しよう

また、総務省の「企業等が安心して 無線LANを導入・運用するために」(2015年1月30日)では、さらに細かく次のことを挙げています。

(1)無線LANの技術面及び管理面における情報セキュリティ対策

① 技術面の対策

・接続に関する認証及び通信内容の暗号化

・管理フレームの暗号化・改ざん検知

・利用者の属性等に応じた無線LANのネットワーク分割

・無線IDS/IPS(侵入検知/防止システム)

② 管理面の対策

・電波の伝搬範囲の適切な設定

・アクセスポイントの管理者パスワードの適切な設定

・ログの収集・保存・分析

・電波状況の監視

・アドホックモードの利用の制限

(2)無線LANの導入・運用の各段階において実施すべき事項

① 準備段階において実施すべき事項

・無線LANからの利用を許可する資産の設定

・無線LANの情報セキュリティ対策の検討

・無線LANの利用を許可する端末の登録

・電波の伝搬範囲の設定

・無線LANの運用ルールの策定

② 構築段階において実施すべき事項

・パスワード等の適切な設定

・アクセスポイントの情報セキュリティの設定

・設置したアクセスポイントの管理

・ログの収集・保存設備の構築

③ 運用段階において実施すべき事項

・パスワード等の定期的な更新

・アクセスポイント情報の更新

・許可されていない又は不正なアクセスポイント等の設置状況の監視

・ログの収集・保存・分析

④ 廃棄段階において実施すべき事項

・無線LANの設定情報の消去

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です