| エンタープライズ:ニュース | 2002/07/18 21:58:00 更新 |
無線LAN環境のセキュリティ(前編) リスクを知る (1/2)
無線LANが徐々に普及している。家庭内でPCを接続する手段としてだけでなく、オフィス内での利用が広まっているようだ。だが、その便利さばかりが注目され、無線LANによって生じるセキュリティリスクにまで注意が回っていないことも事実。そこで、無線LAN環境にどういったリスクが存在するのかを説明していこう。
イーサネットケーブルを用いる有線のLANに代わり、無線LANが徐々に普及している。家庭内でPCを接続する手段としてだけでなく、オフィス内での利用が広まっているようだ。最近では、はじめから無線LANアダプタを搭載したノートパソコンも登場している。
有線のLANでは、これまで運用を通じてさまざまなノウハウが蓄積されてきた。これに対し無線LANはこの1〜2年で急速に普及してきた技術。大規模ネットワークにおける運用やセキュリティに関する情報は、まだ少ない。便利なために気軽に導入されているが、無線LANによって引き起こされるリスクが十分に認識されていないようだ。
ただここでは、「とにかく無線LANは危険だ」などと主張したいわけではない。危険といえば有線LANだって同様だ。車を運転するには、その危険性を知っておく必要があるのと同じことである。いまは便利さや手軽さ、安価といった明るい側面のみが注目される無線LANだが、そこにどんなリスクがあるのかを理解しておく必要があるだろう。そして、リスクを踏まえ、適切な対策とともに導入すれば、問題は防げるはずだ。
目に見えない無線のリスク
では無線LAN――最も普及しているIEEE802.11b(Wi-Fi)がもたらすリスクを具体的に考えてみたい。
まず無線LANの場合、伝送媒体はケーブルではなく無線である。電波の届く範囲すべてに、文字通りブロードキャストされている。
有線の場合、ケーブルをたどっていけばその先に何がつながっているかがはっきり分かる。例えばスニファを突っ込んでも、見た目ですぐにそれとわかるだろう。これに対し無線LANでは、数十メートルという通信範囲内ならば、基本的に誰でも接続し、正当なユーザーでなくともモニタリングなどを行えてしまう。電波の範囲内で自由に動き回りながらネットワークを利用できるという無線ならではの便利さが、部外者にとっても有利に働くわけだ。
最近、PC関連の雑誌やWebサイトで、第三者が“ただ乗り”的に利用できる無線LANアクセスポイントを見つけ出す「ウォードライビング」という言葉が取り上げられるようになった。見つけ出した無線LANを同好の士に知らせる「ウォーチョーキング」という活動も広まりつつあるという(別記事参照)。
自宅にせよオフィスにせよ、安易な無線LANの導入は、ネットワークに誰でも入れる勝手口を設けてしまうようなものだといえる。そして、悪意の有無にかかわらず、部外者が勝手に利用できてしまう無線LANネットワークは、相当数に上るのが現状だ。私が通勤路で調べた限りでも、壁を越えて利用可能な無線LANを幾つか見つけ出すことができた。
このように、部外者が無線LANを利用できるとなれば、具体的な被害も考えられる。まず、無線LAN経由で通信している内容が、他者に筒抜けになってしまう可能性がある。さらに悪いことに、いったんネットワークに入り込まれた後、そこを踏み台にして、他のネットワークへの侵入を試みたり、ウイルスやトロイの木馬といったものをばら撒かれたりする可能性がある。
今のところ、明らかに無線LAN経由で行われたという不正アクセス事件は明るみになっていない。だがこれも、“明らかになっていない”というだけのことかもしれない。その際、無線LANアクセスポイントを設置していた側の責任がどのように問われるのかは不明確だが、できる限り備えておくにこしたことはないだろう。
無線LANにはこうしたリスク以外にも、セッションハイジャックや、本来の通信を妨害電波を出して無線LAN版のDoS(サービス拒否攻撃)をしかける「ジャミング」など、さまざまな攻撃手段が考えられる。
またやや話は逸れるが、公衆無線インターネット接続サービス、いわゆる「ホットスポット」の場合、サービス提供者とは異なる他人が立ち上げたアクセスポイント、いわば“なりすましアクセスポイント”に、それと知らずに接続してしまう可能性もありうる。この場合も、通信内容が丸見えになってしまうというリスクがあるだろう。
技術的対策はあっても……
もちろん、対策もいくつかある。無線LAN製品を説明する場面では必ずといっていいほど、「ESS-ID」(Enhanced Service Set ID。SS-IDともいう)、「WEP」(Wired Equivalent Privacy)、「MACアドレス認証」という3つの設定が“セキュリティ対策”として紹介される。だがこれらは残念ながら、機密情報を扱うのに十分なセキュリティを提供するものではない。
[高橋睦美,ITmedia]
