無線LANにまつわるセキュリティの課題を再確認しよう：サイバーセキュリティ・ピックアップ（2/3 ページ）

これから技術を学ぶ新人エンジニアの皆さまへ――私と一緒に、もう一度サイバーセキュリティの基礎を学んでいきませんか？ 知ってるつもりの知識を再度見直す新連載のスタートです。

[久山真宏（株式会社ラック），＠IT]

クライアントごとに鍵を生成する「WPA2-EAP」

　WPA2-EAPとは、IEEE802.1Xにて用いられる「EAP」を基にクライアントの識別を行い、クライアントごとに異なるPMKを用いることで、暗号通信の解読を困難にしています。

　EAPとは、RFC3748で定義されたPPPを拡張したフレームワークのことです。WPA2-PSKで4-way handshakeを行う前にEAP over LAN（EAPoL）で証明書のやり取りを行い、その証明書からPMKを生成します。

図2 WPA2-EAPではまずEAPoLで証明書をやりとりし、PMKを生成する

　WPA2-PSKでは、クライアントごとに同一のPMKが用いられていたために、PMKを知るクライアントであれば暗号通信を解読できるのに対して、WPA2-EAPではクライアントごとに異なるPMKを用いるため、WPA2-PSKよりも解読が困難になっています。その代わり、WPA2-PSKに比べて管理コストや構築コストが掛かってしまいます。

　また、クライアントごとに識別を行う関係上、無線LANの提供者はアクセスしてくるクライアントを管理する必要があります。そのため、各携帯電話キャリアではスマートフォンや携帯電話などで用いられるSIMカードと契約者情報を用いてWPA2-EAPを実現（SIM認証）した公衆無線LANを提供しています。また、新たに「Hotspot 2.0」というのも出てきました。

Hotspot 2.0とは？

　「Hotspot 2.0」は公衆無線LANにおいて、APに安全に接続するための実装です。APがクライアントへSSIDを通知するために常に発信しているBeaconというデータの中にさまざまなElementsを組み込み、その情報からどういったAPであるのかを判断することができます。

　これにより、クライアントは無数にあるAPの中から、自分の携帯電話契約／公衆無線LANサービス契約でアクセス可能なAPを自動で判断し、接続することができます。これを、SIM認証と連携させることで、SIMカードで利用可能なAPを判断して自動的に接続を行うことが可能になりました。

図3 SIMカードの情報から、利用可能なAPを判断する

　現在では、これらHotspot 2.0やWPA2-EAPによる実装が普及しつつあります。米国の主要空港の公衆無線LANや、サンフランシスコ市内の公衆無線LANにおいて、Hotspot 2.0が提供されています。国内ではNTTドコモの「docomo Wi-Fi」、auの「au Wi-Fi SPOT」、ソフトバンクモバイルの「ソフトバンク Wi-Fi スポット」がWPA2-EAPのSIM認証を実装した公衆無線LANとして提供されています。

　もしかしたら、皆さんのスマートフォンもすでにこの方式を使っているかもしれません。うまく実装すれば、WPA2-EAP／Hotspot 2.0は利用者が意識せずに使える仕組みになり得ます。