2007年10月21日 12:06

実は危険な無線LAN

 
実は危険な無線LAN

ケーブルいらずですぐに繋がる無線LAN。Wireless LANを略してwlanだとか、あるいは相互接続性を保証するブランドであるWi-Fiの名前でも呼ばれます。便利ですよね。

しかし、この無線LAN、実はすっごく危険だということをご存じでしたか?

きちんと設定しないと、意外な落とし穴が待ってるのです。詳細は「続きを読む」からどうぞ。

とはいえ、危険危険と言っても何が危険なのかわからないという人も多いと思います。実際、「他人に接続されて困ることはない」などという意識がかなり蔓延してるようです。

確かに一般人のLANに侵入したところで、そこに価値ある情報があるとも思えませんし、少々ネットワークをただ乗りされたくらいで被害が及ぶとも考えにくいです。

でも、実は違うんです。怖いのは自分の情報が盗まれる事ではない。

本当に怖いのは、自分のネットワークが犯罪に利用されることです。

例えばウィルスをばら撒く拠点に使われたら?

例えばspam(迷惑メールや広告メールの類)を送信するのに使われたら?

例えばどこかに侵入するための拠点に使われたら?

ええ、警察の調査を受けるのはあなたです。

そんなことは滅多に無いとおもわれるかもしれません。

でも意外にそういったアタックをしかけて来る人は多いものです。

なぜならそれが「お金になる」からなんですね。ウィルスをばら撒いて各所のパソコンに侵入経路を作っておき、そこからspamを投げさせる。そうするとspam業者からお金がもらえるんです。

また、最近のネットゲームではRMT(リアルマネートレード)というのが発達しつつあり、ゲーム内のアイテムなどを本物のお金で売買するようになってます(大半のゲームで規約違反ですが)。

こういった「お金になる」アイテムをゲーム内で盗み出すために、「アカウントハック」、略して「垢ハック」などと呼ばれる、価値あるアイテムを持ってる人のゲームアカウントを乗っ取るということが、最近すごく増えています。

そういった犯罪に利用しやすいのが、セキュリティの脆弱で屋外からも侵入可能な無線LANなわけですね。

無線LANのクラッキングが簡単なわけ

無線LANの接続によく使われているWEPというパスワード認証は、実は簡単にクラッキングできてしまうのです。今年の4月には60秒でWEP暗号をクラッキングできたという論文が発表されています。

クラッキングというのは様々な意味合いがありますが、ここではいわゆる「鍵破り」のことです。クラッキングに成功すればその無線LANのアクセスポイントに接続できてしまうわけですね。

Wi-fi security system is 'broken'という記事が、先日BBCのサイトに上がっていました。

これもWEPが非常に危険なので、WPA2と呼ばれる新しい暗号化方式に移行すべきだ、という記事です。しかし同時に、WEPを使い続けなければならない事情にも触れています。

WPA2、あるいはWPA-AESと呼ばれる暗号化形式ははよくできた暗号で、そう簡単には破られません。ただ、これを利用するには無線LAN機器自体を取り換えなくてはならないのです。

例えばニンテンドーDSなどはWPAには未対応で、WEPしか使えない事が指摘されています。

しかしながらWPA2に対応するためにはAESと呼ばれる暗号化方式を実装した回路が必要になるため、ファームウェアのアップデートなどでは対応できないと言われています。

次期ニンテンドーDSが出たらそれに買い替える、という解決しかないわけですね。

このような問題はニンテンドーDSだけでなく、古いノートパソコンなどにも存在しています。ノートパソコンであれば拡張スロットに新しいネットワークカードを挿して対応できますが、無線LAN対応家電などではそうもいきません。

DSの場合は、以下のような製品を使うことでも解決するようです。

ニンテンドーWi-Fi USBコネクタ

しかしこれではWindowsパソコンを起動しておかないと繋がらないので、やっぱり不便ですね……。

WEPにしか対応してない製品を買わないよう、注意するしか無さそうです。

少しでもセキュアに

上記のように、どうしてもWEPを使わざるを得ないシチュエーションというのは理解できなくもありません。

いきなりすべてを買い替えろと言われても無茶ですよね。

そこで少しでもセキュアにするために、MACアドレスフィルタリングを追加することをオススメします。

MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフィルタリングの機能がついており、接続する機械のMACアドレスをあらかじめ登録しておくことで、未登録のMACアドレスを持った機器が繋がらないように設定できます。

ただし、MACアドレスはものによっては書き換える事が可能で、登録してあるMACアドレスのリストなどが盗まれた場合などは簡単に侵入されてしまいます。

しかし、そもそもLANに接続できなければそう簡単には盗まれないですし、総当たりするのも簡単ではないですから、多少はセキュリティ向上が期待できます。

WPA2に移行した場合でもMACアドレスフィルタリングがあればなお安心ですし、きちんと登録しておくのがいいでしょう。

もちろん「これでWEPのままでも安心」というわけではないので、徐々にWEPを排除するようにしてくださいね。

追記

セキュリティの専門家としてご高名な高木浩光先生からシュッシュッされましたご指摘を頂きました。ありがとうございます。

無線LANの通信を傍受し、暗号を解読してしまえばMACアドレスは漏洩するとのことです。確かに考えてみればあたりまえですね。すっかりボケてました。すみません。

しかしながら、MACアドレスフィルタリングがまったく意味が無いというわけではありません。鍵破り対策は「破られないこと」より「破る手間を増やすこと」が重要です。「破れない鍵」が存在しない以上、手間を増やして時間をかけさせ、その間に諦めさせたり、鍵破りを検知したりして対応するわけです。

とはいえ、やはりWEPが脆弱であることには変わり無いので、できるだけ早くWPA2に移行しましょう。移行までの間は毎日WEPパスワードを変更するくらいの慎重さがあってもいいかもしれません。

いまだにWEPにしか対応してないゲーム機を売り続ける任天堂は、もっと非難されていいと思います。

また、「AESには回路の追加が必要」と書きましたが、これも実は正確ではありません。実際には「回路を追加せずにソフトウェアで実装すると、CPU速度が足りなくなって通信速度が異様に低下したりチップが異様に熱をもって暴走したりするので回路の追加が必要」ということです。CPU速度が向上すれば回路の追加無しに実装できるようになるのでしょうね。

ちなみにソニーのPSPの場合は、別の用途でAES回路を持っていたようで、ファームウェアアップデートでそれを利用したWPA2が使えるようになったようです。

追記その2

ふたたび高木先生からツッコミを頂きました。ありがとうございます。

MACアドレスはそもそも暗号化されてない、とのことです。「え、ホントなの?」という感じですが、専門家からのご指摘ですので、おそらく本当なのでしょう。個人的にはちょっと衝撃でした。

もちろん「だからMACアドレスフィルタリングに意味が無い」とまではいいませんが、明確な悪意と計画性をもって侵入を試みる相手には、確かに意味が無いですねえ。

できるだけ近いうちに「別解」のご紹介もしたいと思います。

関連記事

 
Twitter facebook はてブ コメント ご意見 TB
 
コメント欄を表示する(0)
トラックバックURL
最新記事

スポンサードリンク
以前の記事


らばQは、世界中から役立つ・面白いニュースの話題をお届けするブログサイトです。