今日、多くの公共の場所やコーヒー・ショップなどには無線 LAN のホットスポットが設置され、コンピュータ・ユーザが手軽にネットワークにアクセスできるようになり、ユーザにとってどこからでも手軽にインターネットへ高速に接続する事ができるようになり、非常に利便性が高まりました。しかしながら、そこがあたかも全ての人が利用できる公衆ホットスポットであるかのように企業のアクセス・ポイントに接続している輩が存在することにお気づきでしょうか?
無線 LAN が普及した今日、ショッピング・センターや学校、住宅街、オフィス街などさまざまな場所において、多くのコンピュータ・ユーザが、正当な権限があるかどうかにかかわらず、利用できる無線 LAN がないか探し出そうとしています。そして、無線 LAN に「ただ乗り」しようとするこれらのユーザは、意識的であれ無意識的であれ、単に電波を拝借する以上の行為をしている可能性があります。この種のユーザが無線 LAN に接続すると、そのコンピュータを経由して、ネットワーク全体 ── その内部のすべてのコンピュータを含む ── にさまざまなセキュリティ問題がもたらされるおそれがあるのです。
リモート・アクセスを許可するとハッキングに遭う可能性は2倍に
2006年に実施されたある調査によると、調査対象企業の約36パーセントが、一部の社員に対して遠隔地(自宅や無線ホットスポットなど)から企業システムにアクセスすることを許可しています。これを大規模企業に限定すると、その割合は約80パーセントにも上ります。興味深いのは、リモート・アクセスを許可している企業は、そうでない企業と比べて、部外者による不正アクセスの試みを2倍多く受けているということです。また実際に侵入を受けた回数も、前者の方が後者よりも多いという結果が出ています。
無線 LAN の利用を許可された正規のユーザが、追加のアクセス・ポイントやアンテナを許可なく設置して無線の通信範囲を広げるなどした場合、問題はさらに深刻になります。多くの場合、許可なく設置されるアクセス・ポイントに正規のアクセス・ポイントと同じレベルのセキュリティ対策が施されることはないため、このアクセス・ポイントがセキュリティ上の弱点となってしまうのです。
セキュリティ対策としては不十分なパスワード 自宅などで無線 LAN を使用する場合、多くのユーザは、不正アクセスを防ぐためにパスワードを使用しています。企業ネットワークにおいても、パスワードはユーザを認証する手段として現在も広く利用されています。しかし実際のところパスワードは、特に無線 LAN を利用する場合、リモート・ユーザやモバイル・ユーザのアクセスを制限する手段として全く適切ではないのです。
セキュリティ対策が十分でないアクセス・ポイントは、無線 LAN サービスを提供している企業や組織にさまざまな被害をもたらすおそれがある。これらのアクセス・ポイントは、ハッカーにとってネットワークへの格好の入り口となる。
このことを裏付けるような調査結果がメリーランド大学から発表されています。それによると、パスワード単体では無線 LAN を適切に保護できない場合があり、これは特に大規模な環境において顕著であるとされています。
大規模な組織では、広大な無線 LAN にいつでもアクセスすることのできる正規ユーザが数千人単位で存在する場合があります。これだけの数のユーザがいる場合、新しい無線 LAN を構築して組織のネットワークに接続したり無線の通信範囲を広げたりするために、組織の管理を受けない無許可のアクセス・ポイントやアンテナを設置するユーザが出てくることになるのです。
「無許可で設置されたアクセス・ポイントに十分なセキュリティ対策が施されていない場合、そこを経由してさまざまな問題がネットワーク全体にもたらされる可能性があります」と、メリーランド大学信頼性工学プログラムの Michel Cukier 准教授は警告しています。「これらのアクセス・ポイントは、顧客や社員、住民に無線 LAN サービスを提供している企業や自治体にさまざまな被害をもたらすおそれがあります。適切に保護されていないアクセス・ポイントは、脆弱なコンピュータにアクセスしようと試みるハッカーにとって、ネットワークへの格好の入り口となるのです」
このため、無線 LAN の所有者や管理者は、ネットワークにただ乗りしようとするユーザや無許可でアクセス・ポイントを設置しようとする正規ユーザからネットワークを保護するために、次の5つのポイントについて対策を施すことが求められます。
無線の通信範囲
組織の建物や敷地の外から無線 LAN を検出されることのないように電波の強さを制限します。
SSID のブロードキャスト
SSID(Service Set IDentifier)は、無線 LAN 上のパケットに付加され、そのネットワークに属するパケットであることを識別するために使用されるコードです。無線
LAN で SSID のブロードキャストが有効になっている場合、そのネットワークは、通信範囲内にあるすべての無線クライアントから見える状態になります。逆に、SSIDのブロードキャストが無効にされている場合は、SSID
をネットワーク設定に登録しているクライアントだけがそのネットワークを検出することができます。無線 LAN
を使用する場合は、必ず SSID をデフォルトから変更し、無許可のユーザがアクセスできないようにしてください。また、自社名など簡単に推測できる名前を
SSID に使用しないように注意してください。
WPA/WEP による暗号化
通信を暗号化すると、機密データを盗聴などから保護することができます。無線 LAN 上を流れるトラフィックを暗号化すれば、鍵を破られない限りネットワーク上の情報を読み取られることはなくなります。無線
LAN で使用できる暗号化技術には、WPA(Wi-Fi Protected Access)と WEP(Wired
Equivalent Privacy)の2つがあります。通常、この2つを同時に使用することはできません。また、ネットワークの安全性をより高めるには、暗号鍵を定期的に変更することも重要になります。
可能な場合には、WEP ではなく WPA を使用するようにしてください。WEP による暗号化は特殊なソフトウェアを使用することで簡単に解読できてしまうからです。WEPによる暗号化は、安全性が低く非常に脆弱です。WPA または WPA2 (802.11i)を使用し、クライアントの設定でこれらが有効になるようにしてください(通常はデフォルトで無効にされています)。
鍵管理
暗号化を実施していたとしても、ネットワークで生成される鍵を変更せずに使い続けていると、ハッカーに鍵を破られて通信を解読される可能性が高くなります。したがって、鍵を定期的に変更することが重要となります。
MACアドレス
最後のセキュリティ対策は、MAC(Media Access Control)アドレスによるフィルタリングです。メーカーが製造するネットワーク・アダプタ1つ1つに付けられる一意のシリアル番号である
MAC アドレスは物理的なアドレスです。無線 LAN へのアクセスを特定の MAC アドレスを持つデバイスだけに制限すると、無許可の無線アクセスによって生じるさまざまな問題を排除できます。既知の
MAC アドレスからの接続だけを受け入れるようにアクセス・ポイントを設定した場合、攻撃者は、接続を許可されたコンピュータの
MAC アドレスを入手しない限り、無線 LAN にはアクセスできなくなります。
チェック・ポイントのアプローチ
チェック・ポイントが提供するセキュリティ・アプライアンス UTM-1 Edge の無線 LAN 対応モデルは、複数のSSID、WPA、WPA2、およびMACアドレスのフィルタリングを使用したセキュリティ・ポリシーをサポートしています。また、IPSec
over W LAN や RADIUS などのセキュリティ対策もサポートされています。
無線 LAN セキュリティに関する用語集
鍵
暗号化されたデータを解読(復号化)するために必要な情報。
MAC アドレス
特定のネットワーク・アダプタ(ネットワーク・カードや無線アダプタ)の名前としての役割を果たす数値。
パケット
コンピュータ間で送受信される情報は通常、そのやり取りを高速に行えるように複数のパケットに分割されます。分割されたパケットは、受信側で元のとおりに組み立てられます。
SSID(Service Set IDentifier)
そのネットワークに属するパケットであることを識別するために、無線 LAN 上のすべてのパケットに付加されるコード。
WPA(Wi-Fi Protected Access) WEP(Wired
Equivalent Privacy)の欠点を克服す
るために開発された暗号化技術。
WEP(Wired Equivalent Privacy)
メッセージを無線でブロードキャストする無線 LAN を盗聴などから保護するために開発された暗号化技術。