機密情報もダダ漏れ?無線LAN“7つ”の危険

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

機密情報もダダ漏れ?無線LAN“7つ”の危険

2013/10/15


 モバイルデバイスの普及により、心配されるのが無線LANを介した情報漏洩/盗聴の危険性だ。情報窃取を目的とした「野良AP(アクセスポイント)を装った盗聴用AP」による中間者攻撃、単純に暗号化されていない通信やセキュリティ設定の甘い通信の盗聴、社屋から漏れる電波の解読など、無線LAN利用における危険は多岐にわたる。
 今回は、スマートデバイスを利用したテザリングや公衆無線LANサービスの広がりでますます利用頻度が増している無線LANに潜む危険な“7つのポイント”を示すとともに、それに対応する安全な無線LANの使い方とセキュリティ対策の基本をまとめて紹介していく。

無線LAN

無線LAN設定の不備や運用で起きる「7つの危険」とは?

 企業システムの中で無線LANが用いられるのはもはや常識となり、社外のモバイルPCやスマートフォン、タブレットから4G/LTE網や公衆無線LAN経由で社内システムにアクセスすることも珍しくはなくなった。しかし利用端末やアクセスポイント、ユーザが増えれば増えるほど、セキュリティの設定や運用を徹底することが難しくなってくる。会社の社屋内での無線LAN運用にも盗聴のリスクが存在するのに加え、外部からの公衆無線LANの使用や、社屋内外を問わずWiFiルータやスマートフォンによるテザリングの利用が禁止できない状況では、リスクは大きく拡大してしまう。
 無線LANの利用によるリスクを数え上げれば、次のような7つのポイントにまとめられよう(図1)。

図1 無線LAN利用に関わる“7つ”の危険
図1 無線LAN利用に関わる“7つ”の危険

■企業の社屋内での無線LAN利用の懸念ポイント
(1)通信を外部から盗聴される可能性  
(2)社外のアクセスポイントに社内端末が接続してしまう可能性
(3)内部の攻撃者が社内PCなどをアクセスポイント化して盗聴する可能性
(4)社内のアクセスポイントに外部の端末が接続する可能性(なりすまし)

■社屋外から社内システムに接続する場合の懸念ポイント
(5)不正行為のために設置された公衆無線LANを偽装するアクセスポイントに接続する可能性
(6)外出先からWiFiルータやスマートフォンのテザリング機能を使って3G/LTE網に接続する場合の、PCとデータ中継端末までの通信が盗聴される可能性
(7)外出先の公衆無線LAN APと接続してインターネットにアクセスする場合に盗聴される可能性 

今回は、これらのリスクとその対策について考えてみよう。


1

企業の社屋内でのリスクと対策

1-1

通信を外部から盗聴される可能性

<事例>
 早期に無線LANを導入したA社。導入当時から無線LAN接続の暗号方式で主流だったWEPを利用していたが、WEPの脆弱性が明らかになって以降も改修を行わずに運用していたため、外部から無線LAN通信を傍受・解読され、機密情報が漏洩した。

<原因と対策>
 脆弱性が明らかな暗号方式を使い続けていたことが原因。初期の無線LANではWEP暗号方式が標準だった。現在でもゲーム機ではこの方式しか使えないものがある。しかしWEPはすでに解読方法が認知されており、解読ツールも簡単に入手できるようになってしまった。電波は特別な遮蔽を行わない限り社屋内から外部に漏れるのが普通なので、窓際などで無線LAN対応のPCで受信すれば数十秒でパスワード解析が行われてしまう。
 対策としては、暗号化方式をより堅牢なものに変更するしかない。現在ではWPAとWPA2という暗号化方式が規格化(Wi-Fi Allianceによる)されており、これらは現段階ではWEPのような脆弱性を持たない。現在市販されているPCやスマートデバイス、アクセスポイントをはじめ無線LAN機器のほとんど全部がこれら規格に対応しており、古い機器をリプレースして設定をWPAまたはWPA2にし、適切な設定を行うだけで有効な対策になる。
 WPAとWPA2はどちらも端末とアクセスポイント間の接続認証と通信暗号化の両方を規定しているが、認証と暗号化にはそれぞれいくつかの方式が選べるようになっており、組み合わせ方によりコストとセキュリティ強度のバランスをとれる。

■WPA、WPA2の方式の選択

 認証方式としてはPSK(Pre-Shared Key)認証IEEE 802.1X認証の2つがある。
 PSK認証はパスフレーズによる認証方式だ。端末とアクセスポイントそれぞれにパスフレーズを事前定義する(これがPSK)のは普通のパスワード認証と同じだが、その一致を確認するのではなく、乱数を利用して認証のたびにPSKからPTK(Pairwise Transient Key)と呼ばれる毎回異なる鍵を生成して、端末側とアクセスポイント側の鍵の一致を確認するので安全性が高い。
 一方、同じアクセスポイントを利用する端末では同じパスフレーズを使うことになるので、情報が漏れる可能性がないとはいえない。なお専門知識を駆使するパスワードクラッキング攻撃によればパスフレーズの窃取が可能なため、できるだけ頻繁にパスフレーズを変更して運用する必要がある。
 IEEE 802.1X認証はさらに安全な方法だ。認証要求はRADIUSサーバと呼ばれる認証サーバにまず送られ、サーバに登録されたユーザ情報と合致して初めて認証をパスできる。安全ではあるが認証サーバ、端末側に認証用ソフトが必要になるのでコストが高くなりがちだ。ただしこれは有線でのリモートアクセスに企業でこれまで一般的に利用されている方式なので、すでにインフラとして組込み済みの企業には好適だ(図2)。  

図2 IEEE 802.1X認証の仕組み
図2 IEEE 802.1X認証の仕組み
「企業等が安心して無線LANを導入・運用するために」平成25年1月30日より
資料提供:総務省

 IEEE 802.1X認証の認証プロトコルはEAPと呼ばれ、いくつかの規格が併存している。表1にみるようにサーバや端末に電子証明書を利用する方式のほうが安全性が高いが、電子証明書の購入と運用に大きなコストがかかりがちだ。EAP-SIMとEAP-AKAは携帯電話のSIMカードを認証に用いる方法で、これも安全性は高い。LEAP、MAP-MD5は現在の市販製品ではほとんど見ることがなくなった。

表1 EAPの規格の比較
表1 EAPの規格の比較
「企業等が安心して無線LANを導入・運用するために」平成25年1月30日より
資料提供:総務省

 また通信の暗号化や改竄検知のためにはTKIP(Temporal Key Integrity Protocol)CCMP(Counter Mode with Cipher Block Chaining MAC Protocol)の2つの規格がある。CCMPの暗号アルゴリズムは米国政府標準暗号であるAES(Advanced Encryption Standard)なので「AES」方式と呼ばれることが多い。暗号化強度が高いのはCCMPのほうで、TKIPは今では通信の改竄が可能と言われている。WPAではTKIPが標準、WPA2ではCCMPが標準になっている。
 AESのような強度の高い暗号は機器性能に及ぼす影響も大きく、対応機器のリプレースにコストがかかりがちだ。適切な認証と暗号方式の組み合わせで上手に対策を図りたい。

セキュリティ情報局にご登録頂いた方限定で「機密情報もダダ漏れ?無線LAN“7つ”の危険」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


無線LAN/機密情報もダダ漏れ?無線LAN“7つ”の危険」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「無線LAN」関連情報をランダムに表示しています。

無線LAN」関連の製品

デバイスの利用禁止/接続先ネットワークの制限 秘文 Device Control 【日立ソリューションズ】 RADIUSアプライアンスサーバ シリーズ 【インフィニコ】 非管理デバイスに多層防御を実現、UTMの課題を解消する無線LANセキュリティとは 【ユニアデックス】
その他エンドポイントセキュリティ関連 認証 無線LAN
スマートフォン、USBメモリなど様々なデバイスの利用を制限
Wi-Fi制御、VPN利用の強制
マルウェア対策製品と連携し、感染PCのネットワーク通信を自動遮断、感染拡大を防止
Made in JAPANの省電力RADIUSアプライアンスサーバ。シリーズ全製品が異拠点間での冗長構成が可能。多様な認証方式、IPv6に対応。外部AD連携機能標準搭載モデルも用意。 非管理デバイスに多層防御を実現、UTMの課題を解消する無線LANセキュリティとは

無線LAN」関連の特集


ネットワークにおける信頼性向上対策のポイントとは?ルータやL2スイッチの障害発生時に有効となる機能を…



携帯を企業の内線電話に使う「モバイルセントレックス」。今回は各社のモバイルセントレックスをまとめつつ…



 ASUS JAPAN株式会社は2016年6月16日、法人向けタブレット製品「ASUS ZenPad…


無線LAN」関連のセミナー

無線 LAN セキュリティセミナー 【ウォッチガード・テクノロジージャパン】  

開催日 5月30日(水)   開催地 東京都   参加費 無料

無線 LAN セキュリティセミナー「デモで解説。セキュアな無線 LAN の重要性とクラウド管理型 AP の大きなメリット」〜既設の無線 LAN 環境へセキュリテ…

IT Solution Forum 2018 in 福岡 【キヤノンシステムアンドサポート】  

開催日 6月19日(火)   開催地 福岡県   参加費 無料

キヤノンシステムアンドサポートでは 2018年 6月19日(火)に『 IT Solution Forum 2018 in 福岡 』を開催いたします。さまざまな角…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006332


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ