無線LANは便利な技術だがセキュリティ問題が……
自宅やオフィスにおける無線LAN導入の割合は、確実に増えているようだ。いや、無線LANにもいろいろと種類があるのだが、ここでは、最も普及が進んでいる「IEEE802.11b」に話を絞る。
さて、最近発売されるブロードバンドルータの中には、最初から「IEEE802.11b」対応の無線LANアクセスポイント機能が組み込まれているものが増えてきた。クライアント側も同じで、最新のノートパソコンでは、初めから無線LANクライアントの機能を内蔵しているモデルが多い。最初から無線LAN機能が付いていれば、使いたくなるのも道理だろう。
しかも無線LANの浸透は、こうした、ある程度ユーザーが特定できる環境に限った話ではない。不特定多数のユーザーをターゲットとした公衆無線LANサービス、いわゆる“ホットスポット”サービスも続々登場している。
すでにあちこちでニュースになっているから詳しくは触れないとしても、NTTコミュニケーションズ、日本テレコム、NTT東日本/西日本といった主要キャリアが、公衆無線LANサービスを提供している。ほかにも、街角無線インターネットやみあこネットなどが独自のサービスを展開中だ。
さらには、飲食店などが付加価値サービスの一環として、無線LAN接続サービスを提供する場合も増えてきた。日本IBMやNTT東日本などでは、そのための「ホットスポット作成用キット」まで提供している。ある展示会での説明では「喫茶店で流している有線放送の音楽に(客が)お金を払う必要がないのと同じように、無線LAN接続サービスも、飲食店では当たり前のサービスになる」と述べていた。
こうしたサービスのうたい文句はだいたい決まっている。「配線に気を使う必要はありません」「簡単に利用でき、煩雑な設定は不要です」「ユビキタスな環境が実現できます」……素晴らしい! ばら色の未来ではないか。
でも、このロジック、どこかで聞いたことはないだろうか? 例えば(古い例えで申し訳ないが)Windows 95が登場したとき、あるいはブロードバンド接続が急速に普及したとき……。
こうした“何か新しくて、便利なもの”がやってくるとき、われわれはその明るい面だけに目を向けがちで、リスクは見落としがちだ。
だが思い返してみてほしい。簡単で使いやすいはずのWindowsとIE、Outlookの組み合わせによって、われわれがどれだけ泣かされたか。ブロードバンド接続の普及によってどれだけ多くの無防備な自宅PCが、ウイルスやらトロイの木馬やら不正アクセスの格好の標的になったか。
無線LANも同じだ。確かに便利な技術だが、セキュリティという問題を見逃すことができない。
無線LANは危なくて使えない?
まず技術的な観点から、簡単に問題を整理しよう。
第一に、802.11bで規定されている「ESS-ID」(ワークグループ名やドメイン名のようなもので、ネットワーク認識が一致しないと通信ができないようにするための設定)、「WEP」(RC4方式暗号化機能)やMACアドレスの認証(ノートPC側の無線LAN機器に固有のMACアドレスを指定することにより、アクセスポイントの利用を限定するための設定)といった、ごく基本的なセキュリティ対策すら、なされていないケースが多い。アクセスポイントを買ってきたら、デフォルトのまま運用されている場合も多いようだ。
仮に、Windowsのファイル共有設定をオンにしていれば、共有設定したすべてのファイルの中身が見えてしまうし、DHCPサーバ(ブロードバンドルータに付いていることが多い)が立っていれば、簡単にIPアドレスを取得されて、ネットワーク内部に入られてしまう。こうなると攻撃者はやりたい放題だ。
公衆無線LANサービスの中にも、これら「ESS-ID」などの設定を行っていないものがあるという。そして、こうした設定がされていなければ、クライアントはともかく接続可能なアクセスポイントにつないでしまうのだ。そのアクセスポイントが安全なサービスであれば問題ないが、ソフトウェア的にアクセスポイントを実現する技術もあるため、だれかが“ニセ”のアクセスポイントを公衆無線LANサービスの近くで立ち上げることも可能だ。こうなれば、公衆無線LANの客はアクセスポイントに接続しているつもりで、ニセのアクセスポイントに接続して、PCの中の情報を取られてしまう、なんていう可能性もある。つまりアクセスポイントの「なりすまし」だ。
さらに、先ほど挙げた3つのセキュリティ対策は、本当に基本中の基本であり、本気で破ろうとすれば破れるものだ。現に、WEPのアルゴリズムは、鍵長が短いために破られやすいなどの問題が指摘されている。
ということで、あえて断言しよう。セキュリティを重視するのならば、802.11bは、たとえ上記の設定をきっちり行っていたとしても、危険すぎて使えない。とても仕事用の重要なデータなど流せたものではないのだ。事実、取材先の1つで、無線LANの導入を検討したものの、セキュリティリスクを考えて断念した、というケースを知っている。それに仕事に限らず、自分の個人的なデータが第三者に見えてしまうのは、気分のいいものではあるまい。
しかし、技術的な解決策はいくつか見えている。1つは、IPSecやSSHを組み合わせてセキュリティを強化すること。例えば、自ら無線LANとVPN製品を提供しているシスコシステムズでは、AironetにIPSec VPNを組み合わせて運用しているという。あるいは、まだこなれた技術とはいえないが、無線LANのセキュリティに関する新規格である802.1x EAPを組み合わせるのも解決策の1つだろう。
最終的には“802.11i”(参照:Status of Project IEEE 802.11i)という仕様に期待したいところなのだが、これはまだ仕様自体が固まっていない。実際にわれわれが利用できるのは、1年以上先のことになるだろう。
歴史は繰り返すか
ところで実は、ちょっと目端が利いて、セキュリティの動向に気を配っている(そしてこの記事などを読んでいる)人ならば、いま説明したようなことは大体把握しているはずだ。ほかの業界の例に漏れず、セキュリティの分野にもはやり廃りがあるようで、目下の話題といえば、この無線LANであろう。掲示板やメーリングリスト、あるいはセキュリティ専門誌などでもこの話題が取り上げられるようになってきた。
しかし、一般ユーザーの意識となると、まだまだであると思われる。そして、セキュリティ管理者が、真に変えなくてはならないのも、これら一般ユーザーの意識なのである。
例えば書店に行ってパソコン雑誌コーナーを観察してみてほしい。一般向けのPC雑誌の見出しはたいてい、「これで完璧! 無線LAN設定」とか何とかで、しかし本文を読んでみると最後の方におしるし程度に「セキュリティの設定」という囲み記事が出てくるくらいだ。実際のリスクに比べあまりに小さい扱いであり、一般ユーザーが「ちゃんと設定しなきゃ」と思えるかどうかは疑問だ。
そもそも無線LAN製品のマニュアル自体にも、注意喚起の工夫が必要だろう。 ブロードバンドルータもそうだが、デフォルトのまま利用した場合の危険性をしっかり明記し、必要に応じて設定を変更するよう強く推奨すべきだ。
われわれは、まだ浅い歴史とはいえ、これまでトライ&エラーを繰り返しながら前進してきた。
例えば、社員が勝手に立ち上げるRASサーバが問題となったときには、「システムへの裏口へとなりかねない」危険性が指摘され、その認識が広まるにつれて、きちんとした管理下に置かれるようになった。ルータなどのネットワーク機器についても、デフォルトのID/パスワードは危険だという情報が広まるにつれ、管理者がしっかり設定を変更するようになったし、ベンダ側も関連情報を提供するようになった。
無線LANにおいても、同じ流れが生まれることを期待したい。そのためにも、無線LANは便利な一方で、どういったリスクがあり、どうすればそのリスクを制御できるのかを、メーカーも管理者サイドも、またユーザーも巻き込んで考え、認識を深めていくことが大事だろう。
とはいえ、人間は痛い目に遭わないとなかなか変わらないというのも事実。Code Redでエライ目に遭って初めて、ウイルス対策ソフトウェアを導入した人も多い。
歴史に学ぶとなると、無線LANを悪用した大規模なインシデント(不正アクセス)が起きない限り、劇的な変化は期待できないのだろうか? そうなってからでは遅いのだが……。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.