安全なWi-Fi生活を送るための3箇条：Beginner's Guide

心安らかにWi-Fiホットスポットを利用するために、3つの基本的なルールを紹介しよう。これらのルールは、その意味を正しく理解した上で、自己防衛をするための具体策を身につけておく必要がある。

[Joe-Barr，japan.linux.com]

　ウォードライビング（wardriving）という言葉を耳にしたことがあるだろうか。自動車に乗って動き回り、ワイヤレスアクセスポイント（WAP）を探し出してアクセスしようというマニアのお遊びである。ここ数年、企業活動に及ぼすウォードライビングの脅威が騒がれてきたおかげで、多くのホームユーザーやビジネスユーザーもセキュリティ意識に目覚め、利用しているWAPの防備体制を確かめようとしている。しかしながら、外回りの仕事ばかりで席の温まる暇がない人間や、マリオットに宿泊し続ける重役や、スターバックスでおさぼりを決め込んでいる暇人はどうしたらよいのだろうか？　心安らかにWi-Fiホットスポットの誘惑に身を委ねられるよう、外出中のワイヤレス接続使用時に通常レベルのセキュリティを確立することはできるのだろうか？　それはおそらく無理な話だが、やるべき必要性のある事柄なのである。そこでここでは、ラップトップを片手に屋外を駆け回る前に確認しておくべき、3つの基本的な心掛けを紹介しよう。

　これらのルールは、その意味を正しく理解した上で、自己防衛をするための具体策を身につけておく必要がある。第三者に対するプライバシー、秘密データ、企業情報の保護とは、そこから始まるのだから。

• ユーザーIDやパスワードを入力する際には、常に誰かが盗み見しようとしているものと心得よ
• Wi-Fi経由で送受信するパケットは、常に誰かに盗み読みされているものと心得よ
• Wi-Fiアクセスポイントの周辺には、常に“悪魔の双子”が潜伏しているものと心得よ

　1番目のルールを順守する際には、パスワードやユーザーIDを入力する指の動きを人に見られないよう、ラップトップの画面の位置をズラして隠すようにすべきだが、その場合に不作法だとか偏執狂扱いされることを気にしてはいけない。飛行機の客席や空港の待合室で自分の左右および背後に陣取っている人間に対しても、必ず同じ防衛体制を講じて、秘密情報が盗み見られるのを防止する必要がある。

　ささやかな自分のプライバシーを守るのは“極めて当たり前な世間の常識だ”という態度で振る舞うこと。これは実際にその通りなのであり、ATMに暗証番号を入力する時と同じ話である。よりベターなのは、周囲に人がいる状況では、例え相手にその気がないとしても、自分の情報を盗み見られる可能性のある行為をしないことである。

　ここまではキーボード操作の覗き見防止用の物理的なセキュリティについての話であったが、パスワードによるプロテクトをラップトップに施しておくことや、スクリーンセーバー起動用のタイムアウト時間を短めに設定しておくことも忘れてはいけない。それでは食事やミーティングに出かけるため、ホテルの客室にラップトップを残しておくような際にはどうしたらいいのか？　そうした場合は、ネットワークとの接続を解除して、電源を落とし、ロックしておくことである。

The Wall of Shame

　1番目のルールはこれくらいにして、2番目のルールに移ろう。毎年開催されるDefconの会場では、出席者の有志一同がグループを形成して、ワイヤレスアクセスポイント経由で送受信されるすべてのパケットを傍受し、ユーザーIDやパスワードの抽出を試みている。そして盗み出された情報は、逐次The Wall of Shameに公開され、無造作にさらし者とされるのだ。このようにWi-Fiネットワークを覗き見るのは簡単なことなのだが、パケットをインターセプトすることは、さらにお手軽なのである。

　自分がThe Wall of Shameに名を連ねる不名誉を避けたいのであれば、電子メール、法人口座、財務資料、そのほかの秘匿すべき情報にアクセスする際には、暗号化されたセキュアな接続法を必ず使用することである。また社内ネットや契約しているISPがWebメールを提供している場合は、暗号化の施されていないPOPやIMAP メールサーバの代わりにそちらを利用しよう。そして手元のラップトップと会社やホームオフィスとの間に仮想プライベートネットワークを構築できれば、より安全度は高まる。

　どのようなパケットも悪党の手によって盗み読まれる危険性を有しているものであるが、そうした連中に対して先手を打つには、暗号化を施しておくことである。スクリプトキディーと呼ばれる幼稚なクラッカーどもの大半は、最近使われたWEPやWPAなどの暗号化スキームをクラッキングしようと、宝くじに当たるのを待つかのごとく、待ちの姿勢でチャンスをうかがっている。わざわざそんな連中に手を貸してやる必要はない。

悪魔の双子

　最後に説明するのは悪魔の双子（evil twin）という行為である。これはセキュリティのプロがフィッシングの手口の1つに付けた名称で、WAPの識別用に使われているサービスセットID （SSID）を偽造して正規のIDになりすますという手口だ。悪魔の双子による攻撃では、正規のWAPに流れているトラフィックに妨害をかけることで、そこに関連づけられたユーザーの接続をいったん解除させて、その後の自動再接続が実行される際に偽造したSSIDのデバイスに関連づけさせてしまうのである。

　こうした手口に引っかかるのを避ける予防策は、WAPへの自動関連づけ機能を解除しておくことと、アドホックモードでのワイヤレス接続を行わないことである。また使用するネットワークのSSIDを確認しておき、どのようなセキュリティオプションが利用できるかを調べておくことも有用だ。そしてセキュリティ保護されていない接続法の使用を避け、可能な限りWEPやWPAを使用することも必要である。それでは、こうした予防策を講じられない状況に置かれた場合はどうすべきか？　　そのような場合、ワイヤレス接続では機密性の高いデータを扱わないようにするだけである。最後に付け加えるならば、最近のLinuxでは標準装備と化している機能であるが、ファイアウォールを設置しておくのは非常に良い心掛けだと言えるだろう。

　個人情報や機密データの漏えいを防止する最善の方法は、常識を働かせて自衛することである。よこしまな心を持つ者は常に身近に潜んでいて、虎視眈々と情報の盗み読みを狙っているものと心掛けよう。こうした心掛けさえしていればワイヤレス接続をしても安全という訳ではないが、そうしない場合よりも安全度を高めることはできるはずだ。

原文へのリンク