機密情報もダダ漏れ?無線LAN“7つ”の危険

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

機密情報もダダ漏れ?無線LAN“7つ”の危険

2013/10/15


 モバイルデバイスの普及により、心配されるのが無線LANを介した情報漏洩/盗聴の危険性だ。情報窃取を目的とした「野良AP(アクセスポイント)を装った盗聴用AP」による中間者攻撃、単純に暗号化されていない通信やセキュリティ設定の甘い通信の盗聴、社屋から漏れる電波の解読など、無線LAN利用における危険は多岐にわたる。
 今回は、スマートデバイスを利用したテザリングや公衆無線LANサービスの広がりでますます利用頻度が増している無線LANに潜む危険な“7つのポイント”を示すとともに、それに対応する安全な無線LANの使い方とセキュリティ対策の基本をまとめて紹介していく。

無線LAN

無線LAN設定の不備や運用で起きる「7つの危険」とは?

 企業システムの中で無線LANが用いられるのはもはや常識となり、社外のモバイルPCやスマートフォン、タブレットから4G/LTE網や公衆無線LAN経由で社内システムにアクセスすることも珍しくはなくなった。しかし利用端末やアクセスポイント、ユーザが増えれば増えるほど、セキュリティの設定や運用を徹底することが難しくなってくる。会社の社屋内での無線LAN運用にも盗聴のリスクが存在するのに加え、外部からの公衆無線LANの使用や、社屋内外を問わずWiFiルータやスマートフォンによるテザリングの利用が禁止できない状況では、リスクは大きく拡大してしまう。
 無線LANの利用によるリスクを数え上げれば、次のような7つのポイントにまとめられよう(図1)。

図1 無線LAN利用に関わる“7つ”の危険
図1 無線LAN利用に関わる“7つ”の危険

■企業の社屋内での無線LAN利用の懸念ポイント
(1)通信を外部から盗聴される可能性  
(2)社外のアクセスポイントに社内端末が接続してしまう可能性
(3)内部の攻撃者が社内PCなどをアクセスポイント化して盗聴する可能性
(4)社内のアクセスポイントに外部の端末が接続する可能性(なりすまし)

■社屋外から社内システムに接続する場合の懸念ポイント
(5)不正行為のために設置された公衆無線LANを偽装するアクセスポイントに接続する可能性
(6)外出先からWiFiルータやスマートフォンのテザリング機能を使って3G/LTE網に接続する場合の、PCとデータ中継端末までの通信が盗聴される可能性
(7)外出先の公衆無線LAN APと接続してインターネットにアクセスする場合に盗聴される可能性 

今回は、これらのリスクとその対策について考えてみよう。


1

企業の社屋内でのリスクと対策

1-1

通信を外部から盗聴される可能性

<事例>
 早期に無線LANを導入したA社。導入当時から無線LAN接続の暗号方式で主流だったWEPを利用していたが、WEPの脆弱性が明らかになって以降も改修を行わずに運用していたため、外部から無線LAN通信を傍受・解読され、機密情報が漏洩した。

<原因と対策>
 脆弱性が明らかな暗号方式を使い続けていたことが原因。初期の無線LANではWEP暗号方式が標準だった。現在でもゲーム機ではこの方式しか使えないものがある。しかしWEPはすでに解読方法が認知されており、解読ツールも簡単に入手できるようになってしまった。電波は特別な遮蔽を行わない限り社屋内から外部に漏れるのが普通なので、窓際などで無線LAN対応のPCで受信すれば数十秒でパスワード解析が行われてしまう。
 対策としては、暗号化方式をより堅牢なものに変更するしかない。現在ではWPAとWPA2という暗号化方式が規格化(Wi-Fi Allianceによる)されており、これらは現段階ではWEPのような脆弱性を持たない。現在市販されているPCやスマートデバイス、アクセスポイントをはじめ無線LAN機器のほとんど全部がこれら規格に対応しており、古い機器をリプレースして設定をWPAまたはWPA2にし、適切な設定を行うだけで有効な対策になる。
 WPAとWPA2はどちらも端末とアクセスポイント間の接続認証と通信暗号化の両方を規定しているが、認証と暗号化にはそれぞれいくつかの方式が選べるようになっており、組み合わせ方によりコストとセキュリティ強度のバランスをとれる。

■WPA、WPA2の方式の選択

 認証方式としてはPSK(Pre-Shared Key)認証IEEE 802.1X認証の2つがある。
 PSK認証はパスフレーズによる認証方式だ。端末とアクセスポイントそれぞれにパスフレーズを事前定義する(これがPSK)のは普通のパスワード認証と同じだが、その一致を確認するのではなく、乱数を利用して認証のたびにPSKからPTK(Pairwise Transient Key)と呼ばれる毎回異なる鍵を生成して、端末側とアクセスポイント側の鍵の一致を確認するので安全性が高い。
 一方、同じアクセスポイントを利用する端末では同じパスフレーズを使うことになるので、情報が漏れる可能性がないとはいえない。なお専門知識を駆使するパスワードクラッキング攻撃によればパスフレーズの窃取が可能なため、できるだけ頻繁にパスフレーズを変更して運用する必要がある。
 IEEE 802.1X認証はさらに安全な方法だ。認証要求はRADIUSサーバと呼ばれる認証サーバにまず送られ、サーバに登録されたユーザ情報と合致して初めて認証をパスできる。安全ではあるが認証サーバ、端末側に認証用ソフトが必要になるのでコストが高くなりがちだ。ただしこれは有線でのリモートアクセスに企業でこれまで一般的に利用されている方式なので、すでにインフラとして組込み済みの企業には好適だ(図2)。  

図2 IEEE 802.1X認証の仕組み
図2 IEEE 802.1X認証の仕組み
「企業等が安心して無線LANを導入・運用するために」平成25年1月30日より
資料提供:総務省

 IEEE 802.1X認証の認証プロトコルはEAPと呼ばれ、いくつかの規格が併存している。表1にみるようにサーバや端末に電子証明書を利用する方式のほうが安全性が高いが、電子証明書の購入と運用に大きなコストがかかりがちだ。EAP-SIMとEAP-AKAは携帯電話のSIMカードを認証に用いる方法で、これも安全性は高い。LEAP、MAP-MD5は現在の市販製品ではほとんど見ることがなくなった。

表1 EAPの規格の比較
表1 EAPの規格の比較
「企業等が安心して無線LANを導入・運用するために」平成25年1月30日より
資料提供:総務省

 また通信の暗号化や改竄検知のためにはTKIP(Temporal Key Integrity Protocol)CCMP(Counter Mode with Cipher Block Chaining MAC Protocol)の2つの規格がある。CCMPの暗号アルゴリズムは米国政府標準暗号であるAES(Advanced Encryption Standard)なので「AES」方式と呼ばれることが多い。暗号化強度が高いのはCCMPのほうで、TKIPは今では通信の改竄が可能と言われている。WPAではTKIPが標準、WPA2ではCCMPが標準になっている。
 AESのような強度の高い暗号は機器性能に及ぼす影響も大きく、対応機器のリプレースにコストがかかりがちだ。適切な認証と暗号方式の組み合わせで上手に対策を図りたい。

セキュリティ情報局にご登録頂いた方限定で「機密情報もダダ漏れ?無線LAN“7つ”の危険」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


無線LAN/機密情報もダダ漏れ?無線LAN“7つ”の危険」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「無線LAN」関連情報をランダムに表示しています。

無線LAN」関連の製品

FortiGate 【図研ネットウエイブ】 ワイヤレスアダプタ/ワイヤレスVPNルータ 「UNIVERGE WA シリーズ」 【NEC】 ペーパーレス会議システム「SONOBA COMET」 【CIJ】
UTM ルーター ファイル共有
ファイアウォールをはじめとした多彩なネットワークセキュリティを単一のアプライアンスで提供。独自開発プロセッサによる最高水準の性能と高コストパフォーマンスを両立。 LTE回線や無線LANを活用し、多様なネットワーク構築を可能にする企業向けワイヤレスVPNルータ。
無線LAN AP内蔵モデル、LTE通信機能内蔵モデル等を用意。
参加者のいずれか1台のタブレット端末(iPad)を“発表者”として、資料を共有できるペーパーレス会議システム。

無線LAN」関連の特集


IPではもう限界・・・将来500億デバイスを超えるIoT時代に備えた新たなネットワーク体系「情報指向…



 前回は自動車の具体的な脅威について説明した。今回は、自動車への攻撃手法や脅威について、情報処理推進…



今が次世代規格の選びどき? それとも待ちの一手? いまだになかなか状況を読むのが難しい「モバイルブロ…


無線LAN」関連のセミナー

【東京】法人向け文教・観光Wi-Fiセミナー 【バッファロー】 締切間近 

開催日 12月16日(金)   開催地 東京都   参加費 無料

バッファローのWi-Fiプロフェッショナルが、現在の市場動向を踏まえた当社ならではの文教・観光ソリューションを製品と共にご紹介し、皆様の皆様のビジネスに役立つ情…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006332


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ