ほぼフリーアクセス?WEP利用企業が4割超という現実

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

ほぼフリーアクセス?WEP利用企業が4割超という現実

2015/12/15


 2015年8月に発表したキーマンズネット調査によれば、無線LAN導入企業のうち4割以上が暗号化方式として脆弱性があるWEP(Wired Equivalent Privacy)を利用しており、今後導入予定企業でも約4割以上がWEPを採用する意向を持っていることが明らかになった。

 WEPは簡単に入手できるツールを使えば数秒から数分でパスワードを解読できる。つまり、これら企業の無線LANはフリーアクセスと言っても過言ではない。スマートデバイスの業務利用やIoT機器の無線接続が増加する中、無線LANセキュリティへの意識の低さは企業に致命的な打撃を与える可能性を秘めている。今回は自社の無線LANセキュリティを見直すために、基礎的知識と対策を再点検しよう。

無線LAN

無線LAN「タダ乗り」で初の検挙者も!憂慮されるWEP利用実態

 改めて「無線LANの導入状況(2015年)」を見てみよう。無線LAN環境を導入済みの企業は59.7%、導入検討中の企業は22.6%となっている。しかしながら、無線LANのセキュリティ対策として「MACアドレス・フィルタリング+WEP」を挙げた人が34.4%で最多となり、「WEPのみ」とする回答も9.9%あった。

 WEPは2000年代始めに脆弱性が発見され、ネットワークを流れるパケットを解析して数秒〜数分で暗号化を破る技術が開発された。

 その技術を使ったツールが「パスワード忘れ対策」と称して出回ったり、某国ではWEP解析機能付きの「インターネット無料接続」用アクセスポイントとして売り出されたりしたそうだ。

 また、ネットワーク管理ツールや脆弱性チェックツールの中には無線LANの暗号化方式を判別したり、WEPを解析してパスワードを導き出したりできる機能を持つものがある(図1)。

図1 無線LAN解析の例
図1 無線LAN解析の例
脆弱性テストツールによる無線LAN解析の例
資料提供:スペクトラム・テクノロジー

+拡大

 2015年6月、無線LANタダ乗りで国内初の検挙者が出た。松山市の30代男性が、民家の無線LANアクセスポイントを無断使用してインターネットに接続、偽の銀行サイトに誘導するメールを多数に送信してフィッシング詐欺を行い、偽サイトに入力されたID/パスワードを使って約1600万円を詐取した事件だ。

 この事件のポイントは2つ。電波法で定められた数値を超える(0.01W超)技適マークがない無線LANアダプタを使用したこと、タダ乗りした無線LANに設定されていたWEP方式のパスワードを解析して不正使用したことだ。特に後者は、犯罪行為を前提として実行者が特定されないように、他人の無線LANを踏み台として利用したのだろう。

 もしも自社の無線LANが犯罪の踏み台にされたとしたら? 攻撃が自社のプロキシサーバから行われたということになれば、自社システムが捜査対象になる可能性が高く、業務への影響やブランドの毀損リスクも少なくない。

 また、必ずしも被害は踏み台にされるだけとは限らない。パスワードを入手されたということは、社内ネットワークに侵入されたり、通信内容が解読されたりして、機密情報が流出する可能性もあるということだ。


1

無線LANセキュリティの「常識」、本当に大丈夫?

 無線LAN利用に関するセキュリティ上の問題は、およそ以下の7つだ。

■企業の社屋内での無線LAN利用の懸念ポイント

(1)

通信を外部から盗聴される可能性 

(2)

社外のアクセスポイントに社内端末が接続してしまう可能性

(3)

内部の攻撃者が社内PCなどをアクセスポイント化して盗聴する可能性

(4)

社内のアクセスポイントに外部の端末が接続する可能性(なりすまし)

■社屋外から社内システムに接続する場合の懸念ポイント

(5)

不正行為のために設置された、公衆無線LANを偽装するアクセスポイントに接続する可能性

(6)

外出先からWi-Fiルータやスマートフォンのテザリング機能を使って3G/LTE網に接続する場合の、PCとデータ中継端末までの通信が盗聴される可能性

(7)

外出先の公衆無線LAN APと接続してインターネットにアクセスする場合に盗聴される可能性

 このような懸念に対して、「暗号化通信を設定する」「MACアドレス・フィルタリングを設定する」「SSIDを非表示(ステルスSSID)に設定する」という3種の設定が推奨されることが多い。しかしこれらは企業利用のセキュリティ対策としてあまりに弱い。

1-1

WEPの弱点を克服するのはWPA/WPA2

■暗号化設定はWPA/WPA2、可能ならTKIPではなくAES

 繰り返しとなるがWEPは時代遅れで危険だ。これで「暗号化通信設定をクリアした」とは言えない。暗号化方式は「WPA」か「WPA2」の利用が不可欠だ。現在では、ほぼ全ての無線LAN機器がWPAとWPA2に対応している。できるだけWPA2を使うことをお勧めしたい。

 WPAとWPA2という2つの規格が併用されている歴史的な経緯にも触れておこう。WEPの脆弱性が明らかになった後、業界団体Wi-Fi AllianceはWEPにユーザ認証や暗号鍵を一定時間で自動更新する「TKIP」(Temporal Key Integrity Protocol)暗号化プロトコルを加えた「WPA(Wi-Fi Protected Access)」規格を策定した。暗号鍵の取り扱いが複雑になるため解読されにくくはなったが、当時の通信機器の性能を勘案して暗号技術そのものはWEPと同様にRC4と呼ばれる技術を利用している。

 だからWPAも時間さえかければ解読される可能性がある。そこで2004年に、強力な暗号化方式であるAES(Advanced Encryption Standard)を利用する「WPA2」規格が作られた。こちらは「CCMP(Counter Mode with Cipher Block Chaining MAC Protocol)」と呼ばれる暗号化プロトコルを採用している。

 しかし、いまだにWEPが企業ネットワークで利用されているケースが少なくない。考えられるのは次の4つのケースだ。

(1)

WEPのみ対応の古いアクセスポイントが生き延びている(中には設置されていることが忘れ去られている場合もある)

(2)

WPA/WPA2が利用できる機器を導入しているが、古くからの運用にならってWEPだけを利用している(最新の機器でもWEPが利用可能なものが多い)

(3)

アクセスポイントの「マルチSSID」機能を利用して、WPA/WPA2での接続とWEPでの接続が両方できる設定で利用している(WEPで接続できる設定を削除せずに運用している)

(4)

社内システムとは明確に切り離されたネットワークで、社外からのゲストがインターネットにアクセスできるサービスとして意図的にWEPで提供している

 4はリスクを織り込んだ上での無線LANの開放なので問題とはならないかもしれないが、それ以外は早急に対応が必要だ。WEPしか使えない無線LAN機器を探し出して廃棄し、WPA/WPA2に対応する機器にリプレイスすること、そしてマルチSSIDのアクセスポイントのWEP接続設定を削除することをお勧めする。

■認証方式は「PSK」ではなく「Enterprise(IEEE 802.1X)」を利用

 WPAおよびWPA2では暗号方式とは別に、認証方式として「PSK(Pre-Shared Key)」認証(Personalと呼ばれることもある)と「Enterprise(IEEE 802.1X)」認証の2つが用意されており、どちらかを選べる。

 PSK認証は、端末とアクセスポイントにパスフレーズを事前定義する方式だ。ただし仕組みは単純ではなく、認証のたびに異なる鍵を互いに生成して鍵の一致を確認するようにして安全性を高めている。特別な設備はいらないので個人や小規模オフィスで利用しやすいが、同一アクセスポイントを利用する端末では同じパスフレーズを使うことになるのでその情報が漏れないとは言い切れない。

 また、専門知識を持った攻撃者にパスワードクラッキングをしかけられればパスフレーズ窃取の可能性もある。実際に、初期設定のままのパスフレーズを運用していた企業が重要ファイルに不正アクセスされ破壊されたケースがある。そのようなケースも考えてパスフレーズ管理を含めた管理を徹底する必要があり、大規模な利用には問題点が多い。

 IEEE 802.1X認証は「RADIUS認証」とも呼ばれる、社内の認証サーバを利用してユーザ認証を行う仕組みのことで、認証サーバで接続の可否を判断するため安全性が高い。IEEE802.1X認証は多くのユーザがいる企業利用では必須と考えたほうがよいだろう。

 IEEE802.1Xの認証プロトコルはEAP(Extensible Authentication Protocol)と呼ばれていくつかの方式がある。大別すればユーザ名とパスワードを暗号化する方式と、デジタル証明書を利用して安全性を高める方式だ。前者は「EAP-MD5」が代表例、後者の中にはサーバ側の証明書を使う「EAP-TTLS(Tunneled TLS)」、サーバ側と端末側で証明書を持って互いに正当性を証明しあう「EAP-TLS(Transport Layer Security)」などがある。

 スマートフォンではSIMカードを自分の証明として利用する「EAP-SIM」も利用されている。ユーザ名やパスワードは外部に漏洩する可能性があるが、デジタル証明書やSIMを利用する方式なら、端末を不正使用された場合以外は安全だ。

 なお、これらのほかシスコシステムズ独自のLEEP、シスコとマイクロソフト、RSA Securityが共同開発したPEEPと呼ばれるEAPも使われている。これらはEAP-TLSやTTLSに比べて安全性はやや劣る。

 これらセキュリティ規格の比較表を以下に掲げる。安全性が高いのはWPA2とEAP-TLSの組み合わせだ。ただしサーバ証明書に年間10 万円程度、クライアント証明書に年間1 万円程度の費用がかかる。

表1 無線LANセキュリティの比較
表1 無線LANセキュリティの比較
資料提供:スペクトラム・テクノロジー

セキュリティ情報局にご登録頂いた方限定で「ほぼフリーアクセス?WEP利用企業が4割超という現実」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


無線LAN/ほぼフリーアクセス?WEP利用企業が4割超という現実」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「無線LAN」関連情報をランダムに表示しています。

無線LAN」関連の製品

FutureNet RA-1200/RA-730 【センチュリー・システムズ】 全部門が納得するVDI(仮想デスクトップインフラ)導入 【ソフトバンク コマース&サービス+他】 ワイヤレスアダプタ/ワイヤレスVPNルータ 「UNIVERGE WA シリーズ」 【NEC】
認証 VDI ルーター
大規模なIP-VPNサービスのRADIUS認証サーバとして利用でき、IEEE802.1X認証にも対応。冗長化構成もサポートした純国産のサーバアプライアンス。 VDI(仮想デスクトップインフラ)は運用工数削減やセキュリティ強化、柔軟な働き方を後押しする注目の技術だ。しかし導入失敗例も少なくない。成功/失敗の分かれ目とは? LTE回線や無線LANを活用し、多様なネットワーク構築を可能にする企業向けワイヤレスVPNルータ。
無線LAN AP内蔵モデル、LTE通信機能内蔵モデル等を用意。

無線LAN」関連の特集


今話題の小型・軽量・低価格PC。果たして企業で導入する価値はあるのか?今までとは違う新しいモバイル、…



通信元と通信先の間に割って入り、どちらにも悟られないように悪事をはたらく中間者攻撃。具体的な手口と対…



IT専門部署がいないことが多い中堅・中小企業のみならず、ルータは初期導入コストで選定されがち。真の意…


無線LAN」関連のセミナー

【福岡】法人向け文教・観光Wi-Fiセミナー 【バッファロー】 締切間近 

開催日 12月7日(水)   開催地 福岡県   参加費 無料

バッファローのWi-Fiプロフェッショナルが、現在の市場動向を踏まえた当社ならではの文教・観光ソリューションを製品と共にご紹介し、皆様の皆様のビジネスに役立つ情…

【東京】法人向け文教・観光Wi-Fiセミナー 【バッファロー】  

開催日 12月16日(金)   開催地 東京都   参加費 無料

バッファローのWi-Fiプロフェッショナルが、現在の市場動向を踏まえた当社ならではの文教・観光ソリューションを製品と共にご紹介し、皆様の皆様のビジネスに役立つ情…

【広島】法人向け文教・観光Wi-Fiセミナー 【バッファロー】 締切間近 

開催日 12月6日(火)   開催地 広島県   参加費 無料

バッファローのWi-Fiプロフェッショナルが、現在の市場動向を踏まえた当社ならではの文教・観光ソリューションを製品と共にご紹介し、皆様の皆様のビジネスに役立つ情…

「ネットワーク機器」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007986


IT・IT製品TOP > ネットワーク機器 > 無線LAN > 無線LANのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ