疑え、無線LAN接続 「暗号化されているから安全」は本当か：ITの過去から紡ぐIoTセキュリティ（2/3 ページ）

[高橋睦美，ITmedia]

　ざっくり分類すると……。

（1）パスワード（＝認証や暗号化）なしで、不特定多数のユーザーが利用できるもの

（2）複数の人が知る共有パスワード（Pre-Shared Key：PSK、事前鍵共有）を入力すれば利用できるもの（お店ならば、ポスターに書いてあったり、店員さんが教えてくれたりしますね）

（3）認証サーバと連携し、ユーザー個々に配布されたパスワードや電子証明書を用いて認証しなければ利用できないもの

――といった感じです。

　今では無線LAN利用時のセキュリティ対策は当たり前ですが、無線LANが普及し始めた2000年前後は懸念する人も少なく、誰でも勝手につなげられる状態のアクセスポイントがあちこちに見つかる状態でした。しかしその後、企業にも無線LANが普及するにつれ、さすがに筒抜け状態はまずいということで、暗号化や認証といったセキュリティ対策が実施されるようになってきました。そのベースになっているのが、業界団体であるWi-Fi Allianceが策定したWEP、WPA／WPA2といった仕様です。

企業にも無線LANが普及するにつれ、暗号化や認証といったセキュリティ対策が実施されるようになってきた＝総務省「公衆無線LAN セキュリティ分科会 報告書」より

　そのWi-Fi Allianceは6月、約10年ぶりとなる新たな規格「WPA3」を正式発表しています。WPA2で発覚した「KRACK」と呼ばれる脆弱性への対応に加え、セキュリティを高めるための内容がいくつか盛り込まれました。

　例えば、主に公衆無線LANや家庭での用途を想定した「WPA3-Personal」では、PSKの代わりにSAE（Simultaneous Authentication of Equals：同等性同時認証）という方式を採用しました。WPA2では、容易に推測可能な弱いパスワードが設定されていた場合、攻撃者が試行を繰り返してパスワードが破られるというシナリオが考えられましたが、SAEでは認証の再試行回数を変更し、こうしたリスクに備えています。

写真はイメージです

　また従来の方式では、攻撃者が、暗号化されて読めないデータをとりあえずキャプチャーしておき、パスワードを入手できたタイミングで解読してしまうリスクがありました。WPA3ではForward Secrecy（前方秘匿性）を実現し、この課題にも対処しています。

　Wi-Fi Allianceはこれとは別に6月、公衆無線LANでの利用を想定した「Wi-Fi Enhanced Open」という仕様も公表しています。パスワードの入力は不要ですが、「Opportunistic Wireless Encryption」（OWE）と呼ばれる方式によってユーザーごとに個別の暗号鍵を生成し、通信を保護する仕組みです。

エンドツーエンドの「暗号化」で無線LANのセキュリティ対策を補う

　……という具合に徐々に強化されてきた無線LANのセキュリティですが、まだ課題は残っています。たとえネットワークレベルで暗号化が行われていても、いくつかの条件を満たせば、同じ電波の範囲内にいる悪意あるユーザーによって、手元の端末とアクセスポイント間の通信内容を盗み見られる恐れがあるのです。