メディア

ほぼフリーアクセス、WEP利用企業が4割超という現実セキュリティ強化塾(2/5 ページ)

» 2015年12月15日 10時00分 公開
[キーマンズネット]

無線LANセキュリティの「常識」、本当に大丈夫?

 無線LAN利用に関するセキュリティ上の問題は、およそ以下の7つだ。

企業の社屋内での無線LAN利用の懸念ポイント

  1. 通信を外部から盗聴される可能性
  2. 社外のアクセスポイントに社内端末が接続してしまう可能性
  3. 内部の攻撃者が社内PCなどをアクセスポイント化して盗聴する可能性
  4. 社内のアクセスポイントに外部の端末が接続する可能性(なりすまし)

社屋外から社内システムに接続する場合の懸念ポイント

  1. 不正行為のために設置された、公衆無線LANを偽装するアクセスポイントに接続する可能性
  2. 外出先からWi-Fiルーターやスマートフォンのテザリング機能を使って3G/LTE網に接続する場合の、PCとデータ中継端末までの通信が盗聴される可能性
  3. 外出先の公衆無線LAN APと接続してインターネットにアクセスする場合に盗聴される可能性

 このような懸念に対して、「暗号化通信を設定する」「MACアドレスフィルタリングを設定する」「SSIDを非表示(ステルスSSID)に設定する」という3種の設定が推奨されることが多い。しかしこれらは企業利用のセキュリティ対策としてあまりに弱い。

WEPの弱点を克服するのはWPAやWPA2

 繰り返しとなるがWEPは時代遅れで危険だ。これで「暗号化通信設定をクリアした」とはいえない。暗号化方式は「WPA」か「WPA2」の利用が不可欠だ。現在では、ほぼ全ての無線LAN機器がWPAとWPA2に対応している。できるだけWPA2を使うことをお勧めしたい。

 WPAとWPA2という2つの規格が併用されている歴史的な経緯にも触れておこう。WEPの脆弱性が明らかになった後、業界団体Wi-Fi AllianceはWEPにユーザー認証や暗号鍵を一定時間で自動更新する「TKIP」(Temporal Key Integrity Protocol)暗号化プロトコルを加えた「WPA(Wi-Fi Protected Access)」規格を策定した。暗号鍵の取り扱いが複雑になるため解読されにくくはなったが、当時の通信機器の性能を勘案して暗号技術そのものはWEPと同様にRC4と呼ばれる技術を利用している。

 だからWPAも時間さえかければ解読される可能性がある。そこで2004年に、強力な暗号化方式であるAES(Advanced Encryption Standard)を利用する「WPA2」規格が作られた。こちらは「CCMP(Counter Mode with Cipher Block Chaining MAC Protocol)」と呼ばれる暗号化プロトコルを採用している。

 しかし、いまだにWEPが企業ネットワークで利用されているケースが少なくない。考えられるのは次の4つのケースだ。

  1. WEPのみ対応の古いアクセスポイントが生き延びている(中には設置されていることが忘れ去られている場合もある)
  2. WPA、WPA2が利用できる機器を導入しているが、古くからの運用にならってWEPだけを利用している(最新の機器でもWEPが利用可能なものが多い)
  3. アクセスポイントの「マルチSSID」機能を利用して、WPA/WPA2での接続とWEPでの接続が両方できる設定で利用している(WEPで接続できる設定を削除せずに運用している)
  4. 社内システムとは明確に切り離されたネットワークで、社外からのゲストがインターネットにアクセスできるサービスとして意図的にWEPで提供している

 4はリスクを織り込んだ上での無線LANの開放なので問題とはならないかもしれないが、それ以外は早急に対応が必要だ。WEPしか使えない無線LAN機器を探し出して廃棄し、WPA、WPA2に対応する機器にリプレースすること、そしてマルチSSIDのアクセスポイントのWEP接続設定を削除することをお勧めする。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。