第4回 XP SP2環境下での安全な無線LAN環境構築
他力本願堂本舗
杉谷智宏
2005/4/15
Windows XPになってから、無線LANへの親和性が高くなっている。また、ADSLのダイヤルアップルータなど、インターネットプロパイダと接続するために利用する機器にも無線アクセスポイントの機能を持つものが多く見られ、家電量販店のインターネット関連機器コーナーなどで気軽に購入できるようになってきた。
従来、ネットワークは有線で構築されることが多かった。強いていえば携帯電話などによるモバイルアクセスが無線ネットワークとして最初に普及したものかもしれないが、無線LANホットスポット( 無線LANを自由に利用できるようにアクセスポイントを設置した場所)の登場や安価な無線LAN機器の登場によって、LAN環境の無線化もよく見られるものになってきたといえるだろう。
実際に、無線LANを利用して家庭内のネットワークを構築している人もいるし、企業や学校でもコンピュータをどこからでも使えることを目的に無線LANによるネットワークアクセスを提供している場合がある。プロパイダによっては、「ケーブルの取り回しが楽になりますよ」と無線LANをプッシュしているところもある。
筆者の知る限りでも複数の企業や学校がそのようなネットワークを構築している。また、筆者自身も自宅では無線LAN環境を構築して、ノートPCを持ち運んで利用している。
さて、今回はこのように広く利用されるようになってきた無線LANを、Windows XP SP2環境下で安全に使うためのトピックを紹介してみたい。なお、無線LANは3種類の規格が利用されているが、現在最も広く普及しているIEEE 802.11b(11Mbps 2.4GHz帯)での安全なネットワーキングを考えていく。
 |
第三者に無線LANを利用される危険性 |
まずは無線LANが抱える根源的なリスクを見ておこう。無線LANには2通りの使い方がある。1つは、一般的に利用されているアクセスポイントを使う方法だ。もう1つは、現在ほとんど使われていないようだが、パソコン同士を1対1で接続する方法だ。こちらはアクセスポイントを利用しない。
通常、パソコンを無線で接続する際にはアクセスポイントとルータを利用する。ルータによっては無線のアクセスポイントとしての機能を持っている場合があり、単体でルータとアクセスポイントの機能を兼ねられるものもある。
さて、このような無線LANの構成では、1つのアクセスポイントを複数のパソコンが共有することになる。これはルータやハブなどにケーブルを何本も挿していることに相当する。実はここで最初の問題があらわになっているのだ。
無線LANのアクセスポイントは通常のルータやハブと違い、物理的な接続を必要としない。また、設置環境にも左右されるものの、無線LANの電波は半径50〜70メートルの範囲に到達することがある。一戸建て家屋の中心にアクセスポイントを設置するならば電波の有効範囲をすっぽりと囲んでしまえるが、窓際や壁際に設置した場合やマンションなどの場合、隣接する家屋や部屋からも無線の電波をキャッチすることができてしまう。
これはつまり、「自宅で構築した無線LANに、誰かがアクセスしてしまう可能性がある」ということを示している。
実際に無線LANのアクセスポイントを探し出すツールも存在し、広く利用されている。ここではそれらのツールを利用することが主眼ではないため、紹介は避けておく。実際にノートPCでそれらのツールを利用してアクセスポイントを探し出し、接続するやからがいないとも限らない。適切にアクセス制御を行っていないアクセスポイントは、誰にでも接続できるのだ。
|
脆弱な暗号化 |
広く利用されているIEEE 802.11bでは、「WEP」(ウェップ:Wired Equivalent Privacy)という暗号化を行うことができる。暗号化を行っていないと簡単にアクセスポイントに接続できてしまうため、前述の「誰でもアクセスできる」という状況を回避するためにはアクセスポイントとの通信にWEPをかけて認証を兼ねることで対処することになる。
また、通信を暗号化することで、データを盗聴されないようにできる。これによって、「WEPキーを知っている」者同士だけがあたかも有線で接続されているかのように無線LANを利用できるというものだ。
しかし、WEPにはすでにいくつかの脆弱性が見つかっている。例えば、数時間〜数日程度の傍受を行った結果を分析してWEPキーを復号してしまうというツールも存在する(ある程度の運や通信状況にも左右されるが)。
そこで、2003年ごろからそれらの問題への対策を行った新規格「WPA」(Wi-Fi Protected Access)に対応した無線LAN機器も出回っている。とはいえ、WPAは少し古い無線LAN機器では対応できないので、すべての機器を新しいものに買い替えなくてはならない。2004年前半ごろまでWPA未対応の型落ち機種が投げ売りされ安価に出回っていたこともあり、WPAはまだ十分に普及したとはいえない。
|
Windows XPの無線クライアント機能 |
前述の2つは無線アクセスポイント側の問題だ。さらにクライアントにも問題がある。Windows XPでは、無線LANに対応したコンピュータを利用している場合、自動的にアクセスポイントを探して標準的な設定での接続を試みる。また、無線LANのアクセスポイントごとの設定をしていた場合、それらの設定が利用できるかどうかを順次試していく。
その結果、接続が可能であった場合には、無線LANでの通信が行われることになる。無線LANでの通信が行われると、Windowsファイル共有の通信などが始まり、クライアントコンピュータの情報が無線LANに流れることになる。さらに、共有フォルダの設定が行われていたり、管理者アカウントが脆弱であった場合などには、不正アクセスの原因となってしまう可能性もゼロではない。
また、ホットスポットに隣接して、わざとよく似たネットワーク名のアクセスポイントを設置するといった方法でユーザーの誤接続を誘い、メールやFTPなどを利用する際に送受信されるアカウント情報などを盗聴するといった攻撃方法も存在する。
|
問題への対策と安全なネットワーク環境の構築 |
大きく3つの問題について見てきたが、無線LANにはそのほかの問題がないわけではない。一般的なルータやハブと違って、施設の外からネットワークの存在が検出できる可能性があることや、ESSIDというネットワークの識別名から部署を推測する、といったことも可能となる場合がある。これらは深刻さはあまりないが、ネットワークの情報が漏えいするといった面で見ればあまり望ましい状態ではない。
これらの問題や攻撃に対処するための方策を、次ページから見てみよう。
 「第3回」へ |
1/3
|
|
| Index | |
| XP SP2環境下での安全な無線LAN環境構築 | |
 |
Page1 第三者に無線LANを利用される危険性 脆弱な暗号化 Windows XPの無線クライアント機能 問題への対策と安全なネットワーク環境の構築 |
| Page2 無線LANアクセスポイントの設定 WEPによる暗号化 厳密なアクセス制限 |
|
| Page3 クライアント側の対策 Windowsファイアウォールの利用 追加の暗号化 |
|
| 関連記事 | |
| クライアントセキュリティチャンネル | |
| 管理者のためのウイルス対策の基礎 | |
| ネットワーク管理者のためのWindows XP SP2レビュー(後編)(Windows Server Insider) | |
| ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider) |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
