http://www.asyura2.com/09/revival3/msg/897.html
| Tweet |
(回答先: 高速道路「特別転回」とは? 目的地を通りすぎたときに覚えておきたい対処法 投稿者 中川隆 日時 2017 年 4 月 29 日 17:06:28)
疑え、無線LAN接続 「暗号化されているから安全」は本当か
7/24(火) 12:16配信 ITmedia NEWS
https://headlines.yahoo.co.jp/hl?a=20180724-00000038-zdn_n-sci
公衆無線LANを使うとき、何に注意すべき?
7月初旬、西日本を中心とする豪雨で各地に甚大な被害が発生しました。被災した方々には心よりお見舞いを申し上げます。災害時には水や日用品などいろいろなものが必要になりますが、「情報」も欠かせません。被災者がインターネットで安否を確認したり、生活に必要な情報を収集したりできるよう、携帯電話各社は岡山県、広島県、愛媛県の全域で、公衆無線LANのアクセスポイントを「00000JAPAN」という名称(SSID)で無償開放しました。
偽Wi-Fiスポットの攻撃手口
これ自体はすばらしい取り組みだと思いますが、利用に当たっては注意が必要です。総務省は、次のように注意を呼び掛けています。
「通信の暗号化などのセキュリティ対策が講じられておらず、通信内容の盗聴や偽のアクセスポイントを用いた情報の窃取が行われる恐れがあります。そのため、個人情報などの入力は極力避けていただくよう、ご注意をお願いします」
ただ、この注意内容、半分は当たっていますがやや足りない部分もあるように思えます。
.
公衆無線LANを使うとき、何に注意すべき?
00000JAPAN以外にも、パスワードを入力することなく誰でも接続でき、しかも通信が暗号化されない公衆無線LANサービスは存在します。ユーザーの利便性を考慮した仕様なのでしょうが、もし悪意を持ったユーザーがアクセスポイントの周辺にいれば、通信をキャプチャーするツールを用いて内容を盗み見ることができてしまいます。
従って、こうしたパスワードなしの無線LANを利用する場合は最低限の情報収集のみにとどめ、IDやパスワード、個人情報など漏れてはいけない情報をやりとりすべきではありません。もしやむを得ず入力が必要な場合は、URL(アクセス先)を確認し、HTTPSで暗号化されていることを確認した上で行うべきです。
また、アクセスポイントの名前であるSSIDは、誰でも勝手に名付けることができます。つまり、全く同じ、あるいは非常に紛らわしい名前のSSIDでアクセスポイントを用意しておけば、間違えて接続してきたユーザーの通信内容を把握できてしまうのです。従って、公衆無線LAN利用に当たってはSSIDの名称を確認することも重要です。
しかも、これまた利便性を重視した結果でしょうが、スマートフォンでは一度使ったアクセスポイントへの自動接続設定が残るようになっています。一度利用した後もそのままにしておくと、いつの間にか誰かが設置した同名の偽アクセスポイントにパスワードなしで自動接続してしまう恐れがあるため、面倒でも使い終わったら設定を削除しておくべきでしょう。
約10年ぶりに登場した新規格「WPA3」、何がポイント?
ご存じの方も多いと思いますが、公衆無線LANも含め、無線LANのセキュリティにはいくつかのレベルがあります。
ざっくり分類すると……。
(1)パスワード(=認証や暗号化)なしで、不特定多数のユーザーが利用できるもの
(2)複数の人が知る共有パスワード(Pre-Shared Key:PSK、事前鍵共有)を入力すれば利用できるもの(お店ならば、ポスターに書いてあったり、店員さんが教えてくれたりしますね)
(3)認証サーバと連携し、ユーザー個々に配布されたパスワードや電子証明書を用いて認証しなければ利用できないもの
――といった感じです。
今では無線LAN利用時のセキュリティ対策は当たり前ですが、無線LANが普及し始めた2000年前後は懸念する人も少なく、誰でも勝手につなげられる状態のアクセスポイントがあちこちに見つかる状態でした。しかしその後、企業にも無線LANが普及するにつれ、さすがに筒抜け状態はまずいということで、暗号化や認証といったセキュリティ対策が実施されるようになってきました。そのベースになっているのが、業界団体であるWi-Fi Allianceが策定したWEP、WPA/WPA2といった仕様です。
そのWi-Fi Allianceは6月、約10年ぶりとなる新たな規格「WPA3」を正式発表しています。WPA2で発覚した「KRACK」と呼ばれる脆弱性への対応に加え、セキュリティを高めるための内容がいくつか盛り込まれました。
例えば、主に公衆無線LANや家庭での用途を想定した「WPA3-Personal」では、PSKの代わりにSAE(Simultaneous Authentication of Equals:同等性同時認証)という方式を採用しました。WPA2では、容易に推測可能な弱いパスワードが設定されていた場合、攻撃者が試行を繰り返してパスワードが破られるというシナリオが考えられましたが、SAEでは認証の再試行回数を変更し、こうしたリスクに備えています。
また従来の方式では、攻撃者が、暗号化されて読めないデータをとりあえずキャプチャーしておき、パスワードを入手できたタイミングで解読してしまうリスクがありました。WPA3ではForward Secrecy(前方秘匿性)を実現し、この課題にも対処しています。
Wi-Fi Allianceはこれとは別に6月、公衆無線LANでの利用を想定した「Wi-Fi Enhanced Open」という仕様も公表しています。パスワードの入力は不要ですが、「Opportunistic Wireless Encryption」(OWE)と呼ばれる方式によってユーザーごとに個別の暗号鍵を生成し、通信を保護する仕組みです。
エンドツーエンドの「暗号化」で無線LANのセキュリティ対策を補う
……という具合に徐々に強化されてきた無線LANのセキュリティですが、まだ課題は残っています。たとえネットワークレベルで暗号化が行われていても、いくつかの条件を満たせば、同じ電波の範囲内にいる悪意あるユーザーによって、手元の端末とアクセスポイント間の通信内容を盗み見られる恐れがあるのです。
Wi-Fi Allianceも「ネットワークセキュリティが有効になっているかどうかにかかわらず、ユーザーは常にセキュリティで保護されたサイト(HTTPS)をブラウズしていることを確認する必要があります」としており、HTTPS通信であることを確認する、あるいはVPNを使ってエンドツーエンドで暗号化することを推奨しています。
それに今後また、通信方式自体の脆弱性が発覚する可能性も否定できません。今広く使われているWPA/WPA2は、それ以前に使われていたWEPというプロトコルが抱えていた「容易に解読可能」という問題に対処するために策定されたものですし、WPA2でもKRACKという脆弱性が発覚したのはご存じの通りです。「暗号化されているから安全です」という単純な一言で片付けることなく、目に見えないからこそ無線LANの利用には注意を払いたいものです。
ここまで主にPCやスマートフォンの利用を想定して説明してきましたが、無線LANはIoT機器の接続にも広く使われています。IoT機器は、搭載するCPUやメモリが比較的チープで処理能力が限られる一方で、管理すべき数は桁違いに多く、ディスプレイが搭載されていない機器もあり、無線LAN接続のための設定が煩雑なことが課題の1つです。Wi-Fi AllianceはWPA3とともに、QRコードを読み込むだけで必要な設定が行える「Wi-Fi Easy Connect」という仕組みも発表していますが、IoT機器での設定、運用に関するベストプラクティスについては、まだ模索が必要でしょう。
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。