ホットスポットにおける「ANY」設定の是非

IBMがプロデュースしたホットスポットの多くは，ESS IDを，無記入もしくは「ANY」にしておくだけで使える。オープンスペースのANY設定に危険はないのだろうか？

【国内記事】

2002年1月21日更新

　日本アイ・ビー・エム（IBM）がプロデュースしたホットスポットは，喫茶「東洋」にしても「CAFFE FOGLIO」にしても，利用する際の手間がかからない。ユーザーは，ESS IDの欄を，無記入もしくは「ANY」にしておくだけ。MACアドレス制御やWEPキーによる暗号化も行っていない。なぜか。

　iEEE 802.11bの仕様に含まれた「ANY」設定が「無線LANのセキュリティに問題あり」といわれる一因になったのは周知の通りだ。有線LANと異なり，電波の届く範囲を特定しにくい無線LANでは，悪意を持つ第3者が電波を傍受し，盗聴される可能性が指摘されている（詳細は，昨年8月の記事を参照）。

　IBMがこのような仕様にした理由はいくつかある。1つには，東洋やFOGLIOがいずれもビルの地下に立地しており，外部に電波が漏れる可能性が低いこと。ユーザーは，自動的に店内の人に限られる。

　また，MACアドレス制御は，個々の機械（PCや無線LANカード）にふられた固有のアドレスをAPに登録する必要があり，オープンスペースでのサービスには適さない。専任の管理者がつく会員制サービスなら別だが，不特定多数の人が出入りする個人経営の喫茶店では運用面に無理があるという。「ユーザーの手間もさることながら，喫茶店のマスターに厳密な管理を求めても無理だ」（IBMの竹村氏）。

　そのうえ，盗聴者のスキルによっては，電波を傍受して得たMACアドレスに自分のPCを「偽装」することも可能。WEPキーも同様で，現在のノートPCのスペックなら，ネット上で手に入るツールを使って数時間の内に暗号を解読できてしまう。

　竹村氏は，「オープンスペースで大事な仕事をするのならば，こういった仕組みを入れなければ根本的な解決にはならない」と指摘しながら，RSAセキュリティの「ハードウェア・トークン」を持ち出してきた。

　トークンとは，ワンタイムパスワード（一度きりのパスワード）を生成し，ユーザー認証に利用するもの。RSAセキュリティの「Secure ID」では，時刻や認証を求めてきたユーザーの使用回数をもとに，パスワードを生成する。認証サーバ側も同じ方法でパスワードを知り，トークンを持つユーザーだけを接続させる仕組みだ。

　パスワードは60秒に一度変更されるため，盗聴者がパスワードを予測するのは困難で，かつ無線LANに流れるパケットを傍受しても「なりすまし」はできない。暗号化ツールと組み合わせれば，高いセキュリティを確保したリモート・アクセスVPNが出来上がるという。

　「機密性の高い通信であれば，セキュリティはエンド・ツー・エンドで考えるべき。無線LANの部分だけを問題視するより，企業側でリモートアクセスの仕組みを整える必要があるだろう」（竹村氏）。

　逆に，隠す必要のない（機密性の低い）通信であれば，手間やコストがかかるユーザー認証や暗号化を行うこともない。また，ANY設定はオープンスペースのサービスを行うために加えられたものであり，そのメリットは活かせる場面で活かすべきだろう。IBMの割り切りは，ホットスポットの1つのあり方を提示している。

関連記事
秋葉原の新名所!? 「ブロードバンドカレー」の謎を仕掛け人に聞く！
パブリックスペースにおける通信の未来
とりあえず保存版！　東京ホットスポット案内
代官山の老舗カフェ「CAFFE FOGLIO」 ，無線LANを無料開放
無線LANのセキュリティに気を配ろう
ホットスポット【ほっとすぽっと】

関連リンク
日本アイ・ビー・エム

Copyright © ITmedia, Inc. All Rights Reserved.

---