サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

無線LANの安全な使い方

ここ数年、無線LANがちょっとしたブームです。ケーブルを引かずに設置できるのが大きな魅力で、機器も低価格化し、安価な高速規格も登場、ノートパソコンも無線LAN内蔵がスタンダードになってきました。しかしその一方で、無線LANのセキュリティ面での脆弱性が問題になっていることも、また事実です。
ここでは、無線LANを安全に使いたいと考える方のために、その対策を、ホームユースに絞ってご紹介します。

1.無線LANの2つの危険:「不正利用」と「盗聴」
2.「不正利用」対策1:アクセスポイントの設定画面にパスワードを設定する
3.「不正利用」対策2:MACアドレスフィルタリングとESS-IDの変更
4.「盗聴」対策:暗号化によって盗聴を防止する
5.無線LANセキュリティのまとめ

1.無線LANの2つの危険:「不正利用」と「盗聴」

無線LANの2つの危険について知っておきましょう。

(1)不正利用

無線LANでは、自分のアクセスポイントを第三者に勝手に利用されてしまう「不正利用」の危険があります。

「不正利用」の危険

現在、最も普及しているとされるIEEE802.11b規格の無線LANの場合、アクセスポイントからの有効通信距離は、最大100m程度とされています。間に壁などの遮へい物があったとしても40~50mは届くといわれ、この通信可能範囲に入っていれば基本的に誰でもそのアクセスポイントに、ひいてはそこに構築されているネットワークに接続できてしまうことになります。
もしあなたが、このアクセスポイントを利用していたとすると、見ず知らずの他人が同じネットワーク内にいるということを意味します。従来の有線LANならば、ネットワークに接続するためには、ハブやルータに改めてケーブルを挿す必要があり、不正利用の防止はそれほど難しくはありませんでした。しかし、無線LANでは、まったく見えないところからでも、アクセスポイントつまりネットワークへの接続が可能になってしまうのです。

情報流出にくわえ犯罪行為に巻き込まれる恐れも

通信速度の低下などは軽微なほうです。あなたが共有フォルダを設けていたとすると、不正接続して同じネットワーク内にいる第三者からも、そのフォルダ内は丸見えになっています。当然、そこからプライベートな情報などを盗まれる危険性が出てきます。会社で使う文書などを保存してあれば、企業情報の流出といった大事に発展する可能性もあります。

さらに、そのアクセスポイントを経由して何らかの犯罪行為が行われてしまうと、最初に疑いをかけられるのがそのアクセスポイントの所有者、つまり「あなた」になります。プロバイダの接続記録に残る接続元の情報は、そのアクセスポイントのものになるからです。

(2)盗聴

無線LANでは、通信中のデータが収集され解析されることで、通信内容が知られてしまう「盗聴」の危険があります。

「盗聴」の危険

無線を使ってデータをやり取りする無線LANでは、データが空中を飛び回っていることになります。ケーブルという物理的な媒体で接続されている通常の有線LANと異なり、無線LANでは「傍受」という形でそのデータを捕獲することはそれほど難しくありません。
何の対策もせずに無線LANでデータをやり取りした場合、傍受されたデータは特定のツールを使って簡単に復元することができてしまうのです。

恐ろしい情報流出

集められたデータから容易に元の内容が割り出されると、閲覧したメールやサイトの内容、メンバーエリアに入るためのパスワードなどが、そのまま覗かれてしまうことになります。プライバシー情報、企業情報が筒抜けになっては大変ですね。

無線LANのセキュリティ対策は、この「不正利用対策」と「盗聴対策」の2つを組み合わせて、より強固なものとします。

2.「不正利用」対策1:アクセスポイントの設定画面にパスワードを設定する

●アクセスポイントの設置

無線LANの設置には、次のようなパターンがあります。

単機能のADSLモデムを使用している場合

ルータ機能を内蔵した無線LANアクセスポイントを設置します。ただし、すでにブロードバンドルータを導入している環境ならば、単機能の無線LANアクセスポイントにします。

ルータ機能を内蔵したADSLモデムを使用している場合

単機能の無線LANアクセスポイントを設置します。

●アクセスポイント自体の設定

アクセスポイントを設置したら、アクセスポイント自体の設定を行います。アクセスポイントは一種のサーバになっており、そこにログインするという形で設定を行うことになります。

(1)ログイン時のパスワード設定

アクセスポイントには、あらかじめ任意のプライベートIPアドレスが指定してあるので、一般的にはブラウザでそのアドレスを指定することで設定画面に入ることができます。
このとき、ログインのための認証ダイアログボックスが表示されますが、多くの場合、初期状態ではパスワードが設定されていません。そのため、そのままOKボタンをクリックするだけでログインすることができるはずです。
設定画面に入ったら、このログイン時のパスワードを忘れずに設定しておきます。
パスワードを設定しなければ、誰もがアクセスポイントの設定画面に入ることができるようになってしまいます。第三者にアクセスポイントの設定を勝手に変更されたり、セキュリティ機能を不正に操作されたり、最悪の場合、アクセスポイントが乗っ取られてしまう危険性もあります。

(2)アカウント名の変更

パスワードの設定に加えて、アカウント名も変更しておくと、より安心です。
通常は、「root」や「admin」といった名前になっていることが多いようです。これらの名前は、ネットワークにちょっと詳しければ推測ができるものばかりで、その意味では危険といえます。

パスワードを忘れてしまったり、万が一、アクセスポイントが乗っ取られてしまったりしたようなときには、工場出荷状態に強制的にリセットすることで対応します。

POINT!

・アクセスポイントにログインするためのパスワードを設定する
・できればアカウント名も変更しておく

3.「不正利用」対策2:MACアドレスフィルタリングとESS-IDの変更

不正利用(接続)防止対策として、まずやっておくべきことは「MACアドレスフィルタリング」と「ESS-IDの変更」です。もう1つ、ESS-IDを隠ぺいする機能(ESS-IDステルス機能)を併用すると効果的です。

(1)MACアドレスフィルタリング

MAC(Media Access Control)アドレスとは、LANカードのようなネットワーク機器に記録されている番号のことで、メーカーごとの番号とメーカーが割り当てる番号とからなっており、世界中に同じMACアドレスは存在しないようになっています。
この性質を利用して、アクセスポイントにあらかじめ通信できるMACアドレスを登録しておき、登録されていないMACアドレスを持つ機器からの接続を拒否する機能が、MACアドレスフィルタリングです。ただ、MACアドレスは詐称することができるため、過度の期待は禁物です。

(2)ESS-IDの変更

ESS-ID(Extended Service Set-IDentifier)とは、無線LANにおけるLANをグループ分けするための識別名を指します(SS-IDと記述される場合もあり)。同じESS-IDが設定されているアクセスポイントとパソコン間でのみ通信を行うことができます。
通常、アクセスポイントには初期状態で任意の文字列がESS-IDとして設定されていますが、多くはメーカー名や製品名そのもの、あるいはそれらが推測できるものになっています。ぜひ、変更しておきましょう。このとき、新しいESS-IDに、会社名や部署名、個人名といった利用者を特定できるような名前を付けることは避けた方がいいでしょう。
実は、ESS-IDは、基本的にはセキュリティ機能ではありません。変更しても、新しいESS-IDを知ることは簡単です。ESS-IDを変更する意味は、アクセスポイントのメーカーや機種を特定されるような情報を極力排除する点にあります。このような余計な情報を第三者に与えないというのはセキュリティ対策の常道であり、また、機種固有の脆弱性を狙ったクラッキング行為を防止する上でも重要です。

(3)ESS-ID通知信号の隠ぺい

アクセスポイントは、定期的にESS-IDを通知するための信号を発信しています。Windows XPには、このESS-IDを受信し表示・接続しようとする機能があるため、この信号を発信させないようにすれば、Windows XPからアクセスポイントが発見されることは基本的になくなります。

POINT!

・MACアドレスフィルタリングを実行し、接続を許可するパソコンを限定する
・初期設定のESS-IDを、なるべく意味のない文字列に変更する
・できればESS-IDの通知信号を隠ぺいする(ステルス化)

4.「盗聴」対策:暗号化によって盗聴を防止する

盗聴の防止は「データの暗号化」によって行われます。現在、無線LANには暗号化のための2種類のセキュリティ規格が用意されています。

(1)暗号化のための規格その1 「WEP」

・WEP(ウェップ:Wired Equivalent Privacy)は、最初の無線LANの規格が決められる段階から仕様として盛り込まれていたものです。
・WEPキーと呼ばれる暗号化するための鍵(暗号鍵)を、アクセスポイントと通信したいパソコンの両方にキーワードとして登録しておきます。WEPキーとしては、半角英数字5文字(40ビット)のものと13文字(104ビット)のものの2種類が指定可能です。
・実際には、送信側が生成する24ビットのIV(Initialization Vector)と呼ばれる乱数と登録したWEPキーを合わせたものを最終的な暗号鍵として、送信データの暗号化が行われます。
ところで、暗号解読の難易度は、技術的にいうと暗号鍵の長さと暗号化するアルゴリズムの複雑さによって決まってきます。WEPの場合、暗号鍵を構成する一部(WEPキー)が固定であり、毎回生成される乱数部分(IV)の長さが24ビットと短いため、解読されてしまう可能性が高い、つまり脆弱であるといわれています。
しかし、WEPが、セキュリティ的にまったく使いものにならないのかといえば、そういうわけではありません。WEPといえども暗号を解読しようとするには、少なくとも1~3週間程度はデータを取得しつづけなければなりません。ホームユースを前提とすれば、これは非現実的な話です。WEPキーとして104ビットのものを使い、WEPキーそのものも定期的に変更すれば、一般的な盗聴防止として十分な対策となると思われます。

上記のWEPの弱点を克服するために策定されたのが、次に述べるWPAです。

(2)暗号化のための規格その2 「WPA」

WPA(Wi-Fi Protected Access)は、無線LAN関連の業界団体Wi-Fi(ワイファイ:Wireless Fidelity)アライアンスが策定した規格です。企業向けと一般向けの2種類の規格があり、パーソナルユースでは一般向けの規格が利用されます。
・WPAでは、TKIP(ティーキップ:Temporal Key Integrity Protocol)と呼ばれる暗号化処理を行います。暗号鍵を生成するために、IV(48ビット)、MACアドレス(48ビット)、ユーザが登録する一時鍵(128ビット)の3つを利用します。
・この3つを関数を使って混合し、最終的に128ビットの暗号鍵を作り出し、暗号化が行われます。
・WPAでは、IVを倍の長さにし、ユーザが登録する一時キーの長さも最初から128ビットにするなど、技術的にはWEPとは比較にならないほどの強固な暗号化処理が行われます。  ただし、WPAは新しい規格のため、すべての無線LAN機器で利用できるわけではありません。一部の機器では、ファームウェアやドライバのアップデートで対応できる場合もあるようなので、メーカーのサイトなどで調べてみるといいでしょう。

POINT!

・WEPやWPAといった暗号化処理機能は必ず有効にする
・WPA未対応の場合でも、ファームウェアやドライバのアップデートで対応できる場合もある
・WEPで運用する場合は、WEPキーは104ビットとし、定期的に変更するようにする

5.無線LANセキュリティのまとめ

無線LANを使うにあたっては、まずはアクセスポイントに備わっているセキュリティ機能をできるだけ設定すること。これが、無線LANを安全に使う最大の極意といえます。一般家庭での利用ならば、オフィスなどで利用する場合と違い、かなりクローズドな(セキュリティ的に厳しい)環境にしても問題は起こらないと思います。
また、[ESS-IDの隠ぺいは]リンク(ページ中(3) ESS-ID通知信号の隠ぺい へのアンカー)、Windows XPを使う第三者からアクセスポイントの存在を隠すため、不正利用防止の第一歩となるはずです。忘れずに設定しましょう。
暗号化:WEP、WPA共に、データの暗号化にはRC(Rivest Ciper)4という「暗号化アルゴリズム」が使われています。
暗号鍵の長さ:製品によっては、WEPキーとIVの長さを足した値を、鍵長として記している場合があります。この場合、64ビットあるいは128ビットの暗号鍵という表現になります。
ファームウェア:ハードウェア(ここではアクセスポイント)の基本制御を行うために機器に組み込まれているソフトのこと。このソフトをアップデートすることで、不具合の修正や機能の追加といったことを行うことができます。

知っておきたいセキュリティ情報 Indexへ戻る



お知らせ