機密情報もダダ漏れ?無線LAN“7つ”の危険

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

機密情報もダダ漏れ?無線LAN“7つ”の危険

2013/10/15


 モバイルデバイスの普及により、心配されるのが無線LANを介した情報漏洩/盗聴の危険性だ。情報窃取を目的とした「野良AP(アクセスポイント)を装った盗聴用AP」による中間者攻撃、単純に暗号化されていない通信やセキュリティ設定の甘い通信の盗聴、社屋から漏れる電波の解読など、無線LAN利用における危険は多岐にわたる。
 今回は、スマートデバイスを利用したテザリングや公衆無線LANサービスの広がりでますます利用頻度が増している無線LANに潜む危険な“7つのポイント”を示すとともに、それに対応する安全な無線LANの使い方とセキュリティ対策の基本をまとめて紹介していく。

無線LAN

無線LAN設定の不備や運用で起きる「7つの危険」とは?

 企業システムの中で無線LANが用いられるのはもはや常識となり、社外のモバイルPCやスマートフォン、タブレットから4G/LTE網や公衆無線LAN経由で社内システムにアクセスすることも珍しくはなくなった。しかし利用端末やアクセスポイント、ユーザが増えれば増えるほど、セキュリティの設定や運用を徹底することが難しくなってくる。会社の社屋内での無線LAN運用にも盗聴のリスクが存在するのに加え、外部からの公衆無線LANの使用や、社屋内外を問わずWiFiルータやスマートフォンによるテザリングの利用が禁止できない状況では、リスクは大きく拡大してしまう。
 無線LANの利用によるリスクを数え上げれば、次のような7つのポイントにまとめられよう(図1)。

図1 無線LAN利用に関わる“7つ”の危険
図1 無線LAN利用に関わる“7つ”の危険

■企業の社屋内での無線LAN利用の懸念ポイント
(1)通信を外部から盗聴される可能性  
(2)社外のアクセスポイントに社内端末が接続してしまう可能性
(3)内部の攻撃者が社内PCなどをアクセスポイント化して盗聴する可能性
(4)社内のアクセスポイントに外部の端末が接続する可能性(なりすまし)

■社屋外から社内システムに接続する場合の懸念ポイント
(5)不正行為のために設置された公衆無線LANを偽装するアクセスポイントに接続する可能性
(6)外出先からWiFiルータやスマートフォンのテザリング機能を使って3G/LTE網に接続する場合の、PCとデータ中継端末までの通信が盗聴される可能性
(7)外出先の公衆無線LAN APと接続してインターネットにアクセスする場合に盗聴される可能性 

今回は、これらのリスクとその対策について考えてみよう。


1

企業の社屋内でのリスクと対策

1-1

通信を外部から盗聴される可能性

<事例>
 早期に無線LANを導入したA社。導入当時から無線LAN接続の暗号方式で主流だったWEPを利用していたが、WEPの脆弱性が明らかになって以降も改修を行わずに運用していたため、外部から無線LAN通信を傍受・解読され、機密情報が漏洩した。

<原因と対策>
 脆弱性が明らかな暗号方式を使い続けていたことが原因。初期の無線LANではWEP暗号方式が標準だった。現在でもゲーム機ではこの方式しか使えないものがある。しかしWEPはすでに解読方法が認知されており、解読ツールも簡単に入手できるようになってしまった。電波は特別な遮蔽を行わない限り社屋内から外部に漏れるのが普通なので、窓際などで無線LAN対応のPCで受信すれば数十秒でパスワード解析が行われてしまう。
 対策としては、暗号化方式をより堅牢なものに変更するしかない。現在ではWPAとWPA2という暗号化方式が規格化(Wi-Fi Allianceによる)されており、これらは現段階ではWEPのような脆弱性を持たない。現在市販されているPCやスマートデバイス、アクセスポイントをはじめ無線LAN機器のほとんど全部がこれら規格に対応しており、古い機器をリプレースして設定をWPAまたはWPA2にし、適切な設定を行うだけで有効な対策になる。
 WPAとWPA2はどちらも端末とアクセスポイント間の接続認証と通信暗号化の両方を規定しているが、認証と暗号化にはそれぞれいくつかの方式が選べるようになっており、組み合わせ方によりコストとセキュリティ強度のバランスをとれる。

■WPA、WPA2の方式の選択

 認証方式としてはPSK(Pre-Shared Key)認証IEEE 802.1X認証の2つがある。
 PSK認証はパスフレーズによる認証方式だ。端末とアクセスポイントそれぞれにパスフレーズを事前定義する(これがPSK)のは普通のパスワード認証と同じだが、その一致を確認するのではなく、乱数を利用して認証のたびにPSKからPTK(Pairwise Transient Key)と呼ばれる毎回異なる鍵を生成して、端末側とアクセスポイント側の鍵の一致を確認するので安全性が高い。
 一方、同じアクセスポイントを利用する端末では同じパスフレーズを使うことになるので、情報が漏れる可能性がないとはいえない。なお専門知識を駆使するパスワードクラッキング攻撃によればパスフレーズの窃取が可能なため、できるだけ頻繁にパスフレーズを変更して運用する必要がある。
 IEEE 802.1X認証はさらに安全な方法だ。認証要求はRADIUSサーバと呼ばれる認証サーバにまず送られ、サーバに登録されたユーザ情報と合致して初めて認証をパスできる。安全ではあるが認証サーバ、端末側に認証用ソフトが必要になるのでコストが高くなりがちだ。ただしこれは有線でのリモートアクセスに企業でこれまで一般的に利用されている方式なので、すでにインフラとして組込み済みの企業には好適だ(図2)。  

図2 IEEE 802.1X認証の仕組み
図2 IEEE 802.1X認証の仕組み
「企業等が安心して無線LANを導入・運用するために」平成25年1月30日より
資料提供:総務省

 IEEE 802.1X認証の認証プロトコルはEAPと呼ばれ、いくつかの規格が併存している。表1にみるようにサーバや端末に電子証明書を利用する方式のほうが安全性が高いが、電子証明書の購入と運用に大きなコストがかかりがちだ。EAP-SIMとEAP-AKAは携帯電話のSIMカードを認証に用いる方法で、これも安全性は高い。LEAP、MAP-MD5は現在の市販製品ではほとんど見ることがなくなった。

表1 EAPの規格の比較
表1 EAPの規格の比較
「企業等が安心して無線LANを導入・運用するために」平成25年1月30日より
資料提供:総務省

 また通信の暗号化や改竄検知のためにはTKIP(Temporal Key Integrity Protocol)CCMP(Counter Mode with Cipher Block Chaining MAC Protocol)の2つの規格がある。CCMPの暗号アルゴリズムは米国政府標準暗号であるAES(Advanced Encryption Standard)なので「AES」方式と呼ばれることが多い。暗号化強度が高いのはCCMPのほうで、TKIPは今では通信の改竄が可能と言われている。WPAではTKIPが標準、WPA2ではCCMPが標準になっている。
 AESのような強度の高い暗号は機器性能に及ぼす影響も大きく、対応機器のリプレースにコストがかかりがちだ。適切な認証と暗号方式の組み合わせで上手に対策を図りたい。

セキュリティ情報局にご登録頂いた方限定で「機密情報もダダ漏れ?無線LAN“7つ”の危険」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


無線LAN/機密情報もダダ漏れ?無線LAN“7つ”の危険」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「無線LAN」関連情報をランダムに表示しています。

無線LAN」関連の製品

Wi-Fi導入で失敗するよくある「9つの誤解」 【ブロケード コミュニケーションズ システムズ】 FutureNet NXR-G200シリーズ 【センチュリー・システムズ】 製造業でIoT戦略がある企業は約3割? 気になる競合動向を調査 【SAS Institute Japan】
無線LAN ルーター 無線LAN
Wi-Fi導入で失敗するよくある「9つの誤解」 LTE回線での二重化にも対応できる、ゼロコンフィグ対応のVPNルーターとは? 製造業でIoT戦略がある企業は約3割? 気になる競合動向を調査

無線LAN」関連の特集


無線LANの電波状況を調査するための測定ツールには様々な種類がありますが、代表的なのは次の3つです。…



回線が届かなくてもスマートフォンにデータ転送できる新技術が登場。端末過密環境でこそ本領発揮、通信イン…



普段お目にかからない構成要素を写真入りの解体図でわかりやすく解説!モバイルPCに最適な最新テクノロジ…


無線LAN」関連のセミナー

Cloud解析 powered by Tableau ハンズオンセミナー 【JBCC】  

開催日 6月19日(月)   開催地 大阪府   参加費 無料

ビジネスにおいて欠かせないものになった、データ解析。「Cloud解析 powered by Tableau」を利用して、レポート作成における膨大な時間や工数を削…

Cloud解析 powered by Tableau ハンズオンセミナー 【JBCC】  

開催日 5月15日(月)   開催地 愛知県   参加費 無料

ビジネスにおいて欠かせないものになった、データ解析。「Cloud解析 powered by Tableau」を利用して、レポート作成における膨大な時間や工数を削…

Cloud解析 powered by Tableau ハンズオンセミナー 【JBCC】  

開催日 6月27日(火)   開催地 東京都   参加費 無料

ビジネスにおいて欠かせないものになった、データ解析。「Cloud解析 powered by Tableau」を利用して、レポート作成における膨大な時間や工数を削…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006332


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ