Insider's Eye：無線LANの情報漏えいに注意せよ

Insider's Eye

無線LANの情報漏えいに注意せよ
――　山手線沿線の無線LAN事情に思う　――

井上孝司
2002/06/27
2002/07/02更新

　いきなり個人的な話で恐縮だが、筆者の自宅には、IEEE 802.11b無線LANを使用しているノートPCが2台ある。先日、このノートPCで、自宅のものではなく、近所の別の家庭で使用している無線LANに接続してしまうという失敗をした。インターネットに接続しようとしたところ、表示されないはずのユーザー認証画面が現れたために失敗に気付いたのだが、うっかりしてよその家庭の無線LANに「不正侵入」をするところだったわけだ。

　Windows XPは、自動的に無線LANの検出を行い、自動接続する機能を持っている。それが原因となって発生した失敗だが、もし、意図的に同じことを試みたらどうなるだろう。

　最近、無線LANをサーチして、セキュリティ設定が甘い無線LANを探す（そして場合によっては不正侵入を試みる）、「ウォー・ドライビング」と呼ばれる行為が話題になっている。インターネット上のWebサイトには、そのような無線LANの位置を地図上にマークして公開しているところもある。

　無線LANでセキュリティ対策に用いられるWEP暗号化と、MACアドレスによるアクセス制限は、それぞれ相互補完の関係にある。アクセス・ポイントに第三者が勝手に接続するのを防ぐにはMACアドレスの登録による制限だけでもよいが、傍受した電波から通信の内容を読み取られるのを防ぐには、WEP暗号化が必要である。さらに念を入れるのであれば、筆者がしているように、SSIDを「ANY」に設定したクライアントからの接続や、あるいは無線LANの検出そのものを拒否する必要がある（無線LANの詳細については、別稿「運用：WEP暗号化の基礎と実践」を参照されたい）。

　しかし、このように対策された無線LANは、実際にはあまり多くないようだ。その現状を知るため、ある調査を試みた。

山手線無線LANの旅

　使用したのは「NetStumbler」というソフトウェアだ（「stumble」には「遭遇する」「偶然発見する」という意味がある）。これは、電波を受信できた無線LANの情報を調べて、その情報をどんどん記録していくというソフトである。付加機能として、GPS受信機と組み合わせて、受信した無線LANの位置情報を記録しておくこともできる。

　「NetStumbler」で記録される主な情報には、以下のものがある。

WEP暗号化の有無
SSID
アクセス・ポイントのMACアドレス
アクセス・ポイントのステーション名
使用している周波数チャネル
無線LANのチップセットを製造しているベンダの名称
インフラストラクチャー・モード／アドホック・モードの区別
受信した電波の信号レベル（dB）
受信した電波のノイズ・レベル（dB）
信号レベルからノイズ・レベルを差し引いた利得（dB）
受信した時刻

　とある平日の午後に、この「NetStumbler」を愛用のノートPCで実行し、その状態でJR山手線を1周してみた。意図的に、企業のネットワークが多く活動していそうな時間帯を狙ったのだ。

　1時間ほどかけて山手線を1周し終えた時点では、全部で106カ所の無線LANが検出されていた。東京駅の「無線インターネット実験」で使われているアクセス・ポイントや、途中ですれ違った「成田エクスプレス」車内の無線LANまで記録されたのには、正直いって驚いた（これは、ワールドカップ開催に合わせて2002年7月までの期間限定で実施されている、列車内から無線LANを通じてインターネット接続できるという実証実験。車内にIEEE 802.11bのアクセス・ポイントを設置し、車外との通信にはNTTドコモの「FOMA」を利用している）。

　この106カ所の無線LANのうち、WEP暗号化が行われていたものは、わずかに37カ所。残りの69カ所は、暗号化を行わない状態で運用されていた。しかも、SSIDがメーカー出荷時設定のままになっているケースや、会社名／部署名／設置されている階数といった情報がSSIDに使われているケースが多く、これには驚きを通り越して、慄然とした。

　SSIDが出荷時設定のままになっているぐらいだから、その中にはアクセス・ポイントにパスワードをかけずに運用されているケースも少なくないのではないかと思われる。

「NetStumbler」を実行させた状態で山手線を1周した際の、結果の一部

MACアドレスの左側に鍵のマークが表示されているのが、WEP暗号化を使用している無線LAN。暗号化されていないものが多数存在する様子が見て取れる。

		ここに鍵のマークが表示されているものは、暗号化されていることを表す。暗号化されていないものが非常に多い。
		アクセス・ポイントのMACアドレス。
		SSID。検索応答への拒否機能を持つアクセス・ポイントを使えば、SSIDが表記されないようにすることが可能。
		チップセットとベンダ名。

注意：NetStumblerは、OSと無線LANカードの機種の組み合わせによっては、動作しない場合がある点に留意されたい。筆者はWindows XPとLucent Technoligies社（現Agere Systems）製チップセットの組み合わせで使用した。

「自分は大丈夫」では済まされない

　企業や官公庁のIT化が進展するということは、デジタル・データ化され、ネットワーク経由でやりとりされる情報が増加することを意味する。そのネットワークの通信内容が第三者に漏えいすれば、重大な危機につながる可能性が高い。ケーブルを接続しなければ傍受できない有線通信と違い、無線通信は広い範囲に通信内容が拡散するという事実を、多くの人が忘れていないだろうか。

　情報システム部門が設置するアクセス・ポイントの管理が甘いのは論外だが、無線LANのアクセス・ポイントは、既存のイーサネットに接続するだけで簡単に運用できる点も無視できない。企業のネットワークに誰かが勝手にアクセス・ポイントを接続すれば、バックドアとなり得る。RAS（Remote Access Service）サーバを勝手に設置されるよりも、通信速度が速く、容易に存在が知られる分だけ厄介だ。

　歴史をひも解いてみても、重要な通信の内容が漏えいしたために、企業や国家が危機にさらされた事例は少なくない。ずいぶんと古い話だが、ワシントン海軍軍縮会議や太平洋戦争前の日米交渉で、日本の外務省が使用した暗号通信が、アメリカ側に傍受・解読されていた話は有名だ。最近でも、アメリカ・イギリス・カナダ・オーストラリア・ニュージーランドが共同運用しているとされる通信傍受ネットワーク「エシュロン」による傍受活動を非難する声が、ヨーロッパ諸国を中心にして根強い。

　こうした国家レベルの通信傍受活動に警戒心を抱く人でも、自分の足元の無線LANの防御については、意外とおろそかになっているのではないか。実際には、あらゆる無線通信に、傍受の可能性が付きまとうのだ。

　筆者の周囲でも、「自分のところには、傍受されて困るような情報はない」と開き直る人が少なくないのだが、それでもユーザーIDやパスワードの情報が盗み出されれば（もしくは総当り攻撃などで見つけられてしまっては）、ただごとでは済むまい。それに、自宅のブロードバンド回線を、近所の誰かに「ただ乗り」される可能性も考えるべきだ。いつの間にか自宅の周囲が「ホットスポット」になっていたら、笑っていられるだろうか？無線LANの不正侵入は、何も企業ネットワークだけの問題ではないのだ。

無線LANの安全性を高めるには？

　「ウォー・ドライビング」対策として、どのアクセス・ポイントにも装備されているWEP暗号化と、MACアドレスの登録によるアクセス制限は必ず実行するべきだ。これらは無線LANの検知を防ぐという意味では役に立たないが、検知されても侵入はできないようにする効果がある。

　このほかにも、一部のアクセス・ポイントでは、追加のセキュリティ機能を提供している。

　例えばIBMの「高速ワイヤレスLANゲートウェイ」は、SSIDを「ANY」に設定したクライアントからの接続拒否機能（Closed Networkと呼んでいる）を持っている。「NetStumbler」によって無線LANの存在は検知されてしまうが、こうした検索ツールを持たず、SSIDも知らない第三者が勝手に接続する事態は回避できるので、何もしないよりはましだ。

　さらにNECの「WARPSTAR Δ（デルタ） WBR75H」（NECの当該製品ページ）では、SSIDを「ANY」に設定したクライアントからの接続を拒否するだけでなく（ただしアクセス・ポイントが起動してから指定された時間が経過するまでの間は、この拒否機能が働かない）、SSID検索に対する応答拒否も設定できる。これを使用すると、「NetStumbler」を実行してもSSIDが表示されず、空白になる。無線LANの存在とMACアドレスは知られてしまうが、特定の無線LANを狙った侵入は回避できる。

NECの「WARPSTAR Δ WBR75H」で検索応答を拒否する設定にした場合の、「NetStumbler」の動作結果

下段が「WARPSTAR Δ」のもの。無線LANの存在そのものと、MACアドレスは知られてしまうが、SSIDが空白になっている。ただし、アクセス・ポイント起動時からある一定時間の間ならば（デフォルト設定では30分）、SSIDを「ANY」にしたクライアントから接続できるようになっている（SSIDが「ANY」のクライアントからの検索要求を常に拒否するようになっていると、アクセス・ポイントの初期設定などが困難になるため、このような仕様になっているのであろう）。

検索応答拒否機能を使えば、このようにSSIDを空白にすることができる。

　なお、どちらの機能を使用した場合も、Windows XPからアクセス・ポイントを検索してもSSIDは一覧に現れない。しかし、「NetStumbler」のようなツールでSSIDを知られれば接続操作自体は可能なので、WEPやMACアドレス制限を併用しなければ、不正侵入防止対策にはならない点に注意が必要だ。

　こうした各種のセキュリティ対策が、運用に際して余分な手間をかけ、通信速度にも悪影響を及ぼすのは事実だ。実際、IEEE 802.11bで128bit WEP暗号化を使用すると、実効速度は3Mbpsそこそこまで下がってしまう。しかし、対策を怠った結果として発生する危険性や損失を考えれば、それらは「安全のためのコスト」として許容できる、いや、許容すべきものではないだろうか。

　無線LANが普及すればするほど、それがクラッカーの標的になる可能性も高くなる。いま一度、手元に稼動中の無線LANがある読者の皆さんは、無線LANの安全性について真剣に考えてみて欲しい。何か事件があってからでは手遅れなのだ。

更新履歴

【2002/07/02】NECのWARPSTAR Δ WBR75Hに関する記述において、当初は「SSIDを『ANY』に設定したクライアントからの接続はできてしまう点に注意が必要だ」としておりましたが、この機種では、アクセス・ポイントが起動してからあらかじめ設定された時間がたつと（デフォルトでは30分）、SSID検索に対する応答を拒否するようになっています。そのため現実的には（ほとんどの場合においては）、SSID検索に対しては応答拒否を返すものと見なすことができますので、本文を一部修正させていただきました。お詫びして訂正させていただきます。

関連記事（Windows Insider内）
運用	WEP暗号化の基礎と実践

関連リンク
NEC	「WARPSTAR Δ（デルタ） WBR75H」の製品ページ
NetStumbler	NetStumblerの情報ページ

「Insider's Eye」

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる