[WLAN]: 無線 LAN のセキュリティ関連

無線 LAN は、他の通信方法より「通信内容の傍受(ex. 機密情報やパスワードの漏洩)」や「ネットワークへの侵入(ex. spam の踏み台)」が行いやすく、セキュリティ面で弱いとされています。この page では無線 LAN のセキュリティについて纏めています。

• <[WLAN]: WEP による暗号化通信>
  無線 LAN に備わっている暗号化機能である WEP について纏めています。
• <[WLAN]: IEEE 802.11i (WPA/WPA2/802.1x)>
  WEP をより強力にした暗号化技術である 802.11i について纏めています。WEP からの置き換えが期待されています。
• <[WLAN]: ウォー・ドライビング (Wardriving)>
  ウォー・ドライビングは、セキュリティ対策の施されていない無線 LAN 機器を探し回る行為のことを指します。今後、このような行為が行われていることを意識する必要があるかもしれません。

この page は <[WLAN]: 無線 LAN 総合窓口> の特設 page です。
お勧め本は <[WLAN]: Recommended Books> に纏めています。参考にどうぞ。

はじめに読むべき資料

無線 LAN のセキュリティに関して、以下の page を参考にしました。公共機関が一般ユーザーに対して分かりやすく解説しています。少なくともこの page より説得力が高く、資料としても申し分ないので、興味がある方はまず以下の page を参照してください。

• [安心して無線LANを利用するために(総務省)]
  [無線LANのセキュリティに関するガイドライン「安心して無線LANを利用するために」の公表(総務省)]
  総務省が発行しているガイドラインです。
• [http://it.jeita.or.jp/perinfo/committee/pc/wirelessLAN2/index.html]
  JEITA が発行している page、「無線LANのセキュリティに関するガイドライン（改訂版）」。無線機器メーカー用に作成されたガイドラインです。

無線 LAN のセキュリティ機能

無線 LAN には大きく分けて 3 つのセキュリティ機能があります。最低でも以下の 3 つの機能を組み合わせて無線 LAN のセキュリティを保たなければならないと言われています。「1. SSID (Service Set Identifier)」と「2. MAC アドレスフィルタリング」は、他からの接続に対しては多少なり対応出来ますが、傍受への対策にはなりません。セキュリティには「3. 暗号化機能 (WEP/WPA)」が必要不可欠です。

1. SSID (Service Set Identifier)

SSID (Service Set Identifier) は、無線 LAN での接続先を指定する ID です。SSID を設定することで他の通信と区別して通信が行えるようになります。ただしSSID は参照可能な状態にあるので、SSID を設定しただけでは安全とは言えません。また SSID 部分は暗号化されていませんので傍受者は簡単に入手できる状態にあります。

SSID をデフォルトのままで使用すると傍受者から狙われやすくなります。例えば Yahoo! BB の無線 LAN のデフォルトは「YBBUser」であることは周知の事実です。デフォルトのまま放置するのではなくユーザーが独自に決めた SSID を設定することが必要不可欠です。アクセスポイントの設定によっては SSID を隠す機能を備えているものもありますので合わせて設定するとよいでしょう。

「ANY」キー接続

無線 LAN には、SSID に「ANY」と設定した場合、SSID の設定を無視する仕様があります。本来、不特定多数のユーザーが接続するような環境であるホットスポットへの対応を考えた仕様で、一般にはセキュリティを弱くする要因の一つとして挙げられています。工場出荷時設定で「ANY」と設定されている場合があるようですので注意が必要です。

ESSID

ESSID (Extended SSID) は、SSID と同じものと考えて間違いないです。SSID が 1 台のアクセスポイントに設定するのに対し、ESSID は、複数のアクセスポイントに対し同じ名前に出来るよう拡張された規格とのことです。

• [ESSIDとは 【Extended Service Set Identifier】(情報・通信事典 e-Words)]
  [ESS-IDステルスとは 【ESS-ID stealth】(情報・通信事典 e-Words)]

• [野生ホットスポット繁殖中(Slashdot.jp)] (03.03.18)
  元は Y!BB の無線 LAN。デフォルトのまま放置してあるケースだと他のユーザーから勝手に使用される、または知らない内に他人のネットワーク経由で接続してしまうケースがあったとのこと。
  「野生」というより「野良」がぴったり。
• [NTT-ME/BUG、無線LANカードのSSIDセキュリティホールを修正(PC Watch)]
  MN128-SOHO Slotin にある SSID のセキュリティホールを修正したとのこと。以前、WEP のセキュリティホールとは質が違うようです。セキュリティホールというよりバグだな、こりゃ。

2. MAC アドレスフィルタリング (認証)

MAC アドレスフィルタリングは、個々の無線機器の固有番号として備わっている MAC アドレスをアクセスポイントに指定しておくことで、指定していない無線機器の接続を拒絶します。ただし、MAC アドレスは詐称可能ですので万能なセキュリティ技術ではないことに注意する必要があります。

厳しく認証を行うには IEEE 802.1x のような認証技術が必要になります。詳細については <[WLAN]: IEEE 802.11i (WPA/WPA2/802.1x)> をどうぞ。

3. 暗号化機能 (WEP/WPA/IEEE 802.11i)

WEP や WPA は、通信の暗号化を行う技術です。傍受者に対しての対策として通信の暗号化は必要不可欠です。

802.11 に標準でサポートされている WEP には、セキュリティ上、様々な問題があると言われています。最低でも WEP (128-bit) の設定は必要とされていますが、無線機器が対応しているのであれば WPA による暗号化が望まれます。

詳細については <[WLAN]: IEEE 802.11i (WPA/WPA2/802.1x)> をどうぞ。

お勧め

Windows Connect Now

Windows Connect Now は、Microsoft 社が開発したセキュリティの設定手順です。Windows Connect Now は、Windows XP SP2 上で作成したセキュリティ情報を USB メモリに記録させ、そのデータを Windows Connect Now 対応機器に接続することで自動的に設定を行う仕組みです。

Windows Connect Now を使用する条件は以下の通り。

• Windows XP SP2
• USB メモリ
• Windows Connect Now に対応した無線機器

• [Windows XP: Windows Connect Now テクノロジ(MSKK)]
  Windows Connect Now の本拠地。

• [アイ・オー、国内初のWindows Connect Now対応無線LANルータ(CNET Japan)] (04.12.10)
  [槻ノ木隆の新製品レビュー アイ・オー・データ機器 WN-APG/R〜Windows Connect Nowに対応する無線LANルータ〜(Broadband Watch)]

WAPI (Wired Authentication and Privacy Infrastructure）

• [ノキアの行く手をはばむ、中国の独自Wi-Fi標準義務付け(CNET Japan)] (04.03.21)
• [インテル、ブロードコムなど、中国へのWi-Fi製品輸出を中止へ(CNET Japan)] (04.03.11)
  中国独自の無線セキュリティ規格 WAPI (Wired Authentication and Privacy Infrastructure） をネタに知的財産の放出や知財の価格設定などが握られるのが嫌らしい。当然と言えば当然だが、独自仕様にしたことでのコストがどの程度の痛手になるか、興味深い。
  当然、ヲチ対象。
• [http://www.itmedia.co.jp/news/articles/0402/26/news062.html] (04.02.26)
  ITmedia の記事「中国の独自仕様押しつけに、米ワイヤレス業界が抗戦」。

無線 POS のセキュリティ

• [http://itpro.nikkeibp.co.jp/members/NBY/ITARTICLE/20030328/1/] (03.04.07)
  IT Pro の記事「詳報　危ない百貨店の無線POS」。
• [高島屋の平文無線POSは1週間で対処、そして顧客へ告知(Slashdot.jp)] (03.03.13)
  [http://itpro.nikkeibp.co.jp/free/NBY/NEWS/20030313/1/]
• [http://itpro.nikkeibp.co.jp/free/NBY/NEWS/20030221/1/] (03.02.23)
  [西武百貨店、無線POSの平文通信を知りながら即時回避策とらず(Slashdot.jp)]
  IT Pro の記事「西武百貨店の危ない無線POS，クレジットカード情報が見えた」。実際にどれだけの被害があったか分からないとして、対策が後手後手。そんな雰囲気。
• [百貨店で使用されているPOS機器から個人情報漏洩の危険性(Slashdot.jp)] (02.11.28)

関連記事

• [http://www.itmedia.co.jp/news/articles/0508/09/news052.html] (05.08.09)
  ITmedia の記事「無線LANの盗用で逮捕者――ユーザーに求められる対策は？」。
• [無線LANセキュリティは誤解だらけ？ ファイブ・フロント進藤氏が解説(Broadband Watch)] (05.06.12)
• [Getting practical about wireless security, Part 1 Building a wireless sniffer with Perl(dW@en)] (05.02.05)
  [Getting practical about wireless security, Part 2 Enhancing the wireless sniffer(dW@en)]
• [英研究者、Wi-Fiホットスポットに迫る新たな脅威を警告(CNET Japan)] (05.01.24)
  少し前に Y!BB のモデムの電波が強くて、隣人のネットワークにまで接続してしまった事故を悪用すると、今回のケースになるのかな。運用が悪ければこの手の盗聴は気が付かれない可能性が高いのでしょうね。
• [Atheros、無線LANソリューション向けの簡易セキュリティ設定ツール(INTERNET Watch)] (05.01.07)
  [アセロス、無線LAN用のセキュリティ設定簡素化ソフトを提供へ(CNET Japan)]
  [Atheros、無線LANの設定ユーティリティ「JumpStart」をデモ(Broadband Watch)]
• [無線LANがセキュリティ上の大問題に〜米Gartner(INTERNET Watch)] (04.06.12)
• [他人の無線ＬＡＮ盗用…不正アクセスで逮捕の大学職員(Slashdot.jp)] (04.06.10)
• [http://www.itmedia.co.jp/enterprise/articles/0406/07/news014.html] (04.06.07)
  ITmedia の記事「ワイヤレスハッカーは足跡を残さない」。
• [無線LANの15％が初歩的なセキュリティ機能を使用せず〜豪大学調査(INTERNET Watch)] (04.05.31)
• [JPCERT/CC、無線LAN機器で妨害電波の影響を受ける脆弱性を公表(INTERNET Watch)] (04.05.13)
• [総務省、無線LAN利用時のセキュリティガイドライン作成(INTERNET Watch)] (04.04.28)
  [無線LANのセキュリティに関するガイドライン「安心して無線LANを利用するために」の公表(総務省)]
• [無線LANを安全に使ってもらうために - JEITAがガイドラインを改訂(MYCOM PC WEB)] (04.04.14)
  [無線LAN機器の初期出荷時にWEP設定などを義務付け(INTERNET Watch)]
• [清水理史の「イニシャルＢ」 第87回：ワンタッチで設定できるバッファローの「AOSS」で変わる無線LANのセキュリティ対策(Broadband Watch)] (04.01.27)
• [http://itpro.nikkeibp.co.jp/members/SI/ITARTICLE/20031216/1/] (03.12.22)
  IT Pro の記事「無線LANの傍受は法的な問題があるか？」。Answer は「無線LANの電波を傍受しただけでは処罰の対象にはなりません。しかし，その内容を他人に漏らすことなどは禁じられています」とのこと。ビミョー。
• [ZDNN：“無線LAN乗っ取り事件”が投げかける警告(ZDNet JAPAN)] (03.12.02)
• [バッファロー、PCレスで無線LANの接続・暗号化設定を行なう「A.O.S.S」(PC Watch)] (03.11.10)
  [バッファロー、無線LANをワンタッチで設定できるシステム「A.O.S.S」(INTERNET Watch)]
• [エンタープライズ：「無線LANのセキュリティに関するガイドライン」がベンダーに求めるもの(ZDNet JAPAN)] (03.08.06)
  [JEITA、無線LANセキュリティに関するガイドラインを制定(INTERNET Watch)]
  [http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030806/2/]
  [無線LANのセキュリティガイドライン-JEITA(Slashdot.jp)]
  [http://it.jeita.or.jp/perinfo/committee/pc/wirelessLAN/]
• [ZDNN：危険な無線LANを探し出す「番犬」ロボット(ZDNet JAPAN)] (03.08.05)
• [ZDNN：ホットスポットが違法ファイル交換の隠れみのに？(ZDNet JAPAN)] (03.07.17)
  [ZDNN：ホットスポットはRIAAから身を隠す「最後の砦」(ZDNet JAPAN)]
• [ZDNN：企業は無線LANセキュリティに無頓着？(ZDNet JAPAN)] (03.06.28)
• [ZDNN：Windowsの無線セキュリティガイドライン公開(ZDNet JAPAN)] (03.05.17)
• [Frost調査、無線LANセキュリティ市場は2009年に2億8000万ドル規模へ(INTERNET Watch)] (03.04.28)
• [位置により無線LANのアクセスポリシーを決めるセキュリティーソリューション(INTERNET Watch)] (03.04.25)
• [無線LANを狙うスパマー(Slashdot.jp)] (03.04.10)
• [ZDNet エンタープライズ：「危険な無線LAN」と「安全な無線LAN」の境目(ZDNet JAPAN)] (03.02.28)
• [ZDNN：Cisco、無線LANセキュリティ強化でソフト無償ライセンス(ZDNet JAPAN)] (03.02.28)
  [企業向け無線LAN市場でメーカー囲い込み作戦に出たシスコ(Wired News)]
  [http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030225/6/]
• [「危険なのは無線LANを使う人」、ラック三輪氏がセキュリティ対策指南(@IT)] (03.01.27)
  最大のセキュリティ・ホールは「人」だという事は分かり切っているから。
• [無線LANでイベント会場にウィルス蔓延(Slashdot.jp)] (02.10.29)
  皆、感染されました、とさ。どっとはらい。
• [米政府、無線LANのセキュリティーに関して警告(Wired News)] (02.10.10)
• [http://itpro.nikkeibp.co.jp/members/NOS/ITARTICLE/20020711/1/] (02.07.20)
  [http://itpro.nikkeibp.co.jp/members/NOS/ITARTICLE/20020711/2/]
  IT Pro の記事「解説●無線LANにセキュリティの落とし穴」。
• [無線LANのセキュリティに気を配ろう(ZDNet Broadband)] (01.08.21)
  多少なりともセキュリティに気を使おう、というもの。
• [http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20010711/1/] (01.07.11)
  IT Pro の記事「ますます熱い無線LAN」。セキュリティの問題と今後の展開について。