初心者の為の10の無線LANセキュリティの罠とオススメのアクセスポイント

セキュリティ
スポンサーリンク

無線LAN(Wi-Fi)がスマホの普及と共に家庭にも置かれるようになり一般的に普及していった。

スポンサーリンク

初めに

PC、スマホ、タブレットに限らず日本ではIOTの為に無線ネットワークに接続する機会が増えるかもしれないし、コンビニや空港などでも公衆無線LANが普及し政府も後押ししている。しかしその危険性やリスクを理解せずに便利だからとアクセスしている方も多いのではないでしょうか。今後、より安全に無線LANを利用する方が増える事で、周りの利用者も安全になり二次被害の軽減になればと考えている。

ここでは、ある程度の知識がある人が貴方のアクセスポイントから侵入するリスクを低減できる提案をしたいと思う。

Pickup!量販店では通信速度がいかに早いか紹介しているが、無線LANセキュリティーでアクセスポイントを選ぶ事を見落としがちである。アクセスポイントのセキュリティ-規格が同じでは無いので購入前にチェックして頂きたい。

1.アクセスポイントは購入時のデフォルト設定!?

無線LANの据え置き型やポケットWi-Fiやモバイルルーターなど、アクセスポイントは、購入した初期値のまま利用できる仕様になっている。

今すぐ変えるべき設定手順

  1. 管理者パスワードの変更
  2. ファームウェアの更新
  3. WEPの利用停止
  4. WPAパスワードの変更

1.各種メーカーからの初期値の管理者権限パスワードは一覧表で公開されているので、今すぐ変更すべきだ。変更したパスワードも連続性を持った類推しやすいものであるならば、最大文字数でランダム性の高いものを設定して欲しい。

LAN側からでなければアクセスポイントの設定を変更できないが、LAN側から攻撃も存在する。常ならばWAN側からアクセスポイントを変更出来ないが、過去にはWAN側からの脆弱性が発見された事がある。

2.ファームの更新は早急に対処すべきだ。何故なら存知の危険性に対処した事で脆弱性から悪意ある第三者から攻撃されるリスクを低減できる。

3.無線LANの暗号化規格であるWEPは、現在では、低スペックの端末で数十秒から数分で誰でもクラック(暗号を解読)できてしまう。もはや暗号化して守っている事にならないから使用を辞めるべきだ。

アクセスポイントによっては、WEPとWPAの2系統で2つのSSIDが存在するタイプでもWEPを停止させる。

しかし、WEPにしか対応していない端末が存在するので、家庭ではデフォルト設定のままでWEPも利用可能な為に危険な状態である。予算があるならばポケットWi-Fiなどを別に契約し、それ専用で利用する事が安全だ。アクセスポイントのWEPを停止させる事が出来る。

4.WPA(Wi-Fi Protected Access)/WPA2-PSK(Pre-Shared Keyのパスワードは、販売されいる全てのアクセスポイントに別々のパスワードを設定しているメーカーもあるが、桁数や文字列が難読とは限らない。パスワードの文字列の設定は、悩むことが多いが、自力で考えるならば20文字数以上のランダムな文字列でかつ複数の文字を使うことをお勧めする。

Pickup!自分でパスワードを考えるのが面倒な方は、ID ManagerApple_1PasswordAndroid_1Passwordなどのソフトウェアを利用すれば、パスワードの強度を含めてボタン一つでパスワードを生成してくれる。

Pickup!定番のセキュリティソフト ノートン セキュリティから【ID セーフ】を無料ダウンロード。
Pickup!【ウイルスバスタークラウド】から【パスワード管理ソフト/パスワードマネージャー】をダウンロード。

2.WPS、AOSSなどの簡単接続!?

WPS、AOSSは、アクセスポイントに接続したい端末にパスワードを入力する手間をボタン一つで接続を自動で完了してくれる機能だ。

しかし、手軽さ故に誰でもアクセスポイント近づけれ誰でも接続が自動で完了してしまう。家庭や仕事場に部外者(業者など)が来客した場合に、少し目を離した瞬間にボタンを押され元の場所でスマホで作業を続ければ相手に気づかれる事は無い。但し、アクセスポイントの設定で接続履歴の保存を有効にしていればアクセスした時間から、大体誰かを把握する事が出来る。

以前にWPS機能に脆弱性が発見された事例がある

どちらにしても、常に必要な機能ではないし、初めの時だけだと思われるので、一通りの設定が終ったら、ついでにWPSやAOSS機能は停止した方が良い。

3.WEP側のSSIDとWPA側とのSSIDは独立しているので、セキュリティ上のリスクは無い!?

2系統のSSIDがある場合、WEPのパスワードをクラック(暗号解読)された場合でも、別系統だからと安全と考える方がいるかもしれない。

例えば、第三者が貴方のアクセスポイントを経由して2チャンネルに危険な書き込みをしたとする。それによって警察が調査した場合も、貴方のIPアドレスであって最終的に貴方の身元を割り出す事になる。濡れ衣であって取り調べを受ける事になる。近所には要らぬ噂が立つかもしれないし時間が奪われるのだ。そのようなリスクを考えるとWEPのパスワードを幾ら頻繁に変えたとしても関係ない状況での利用は絶対に避けるべきだ停止をする事をおススメする。

4.MACアドレス制限をかければ安全!?

端末固有番号によってアクセスポイントへの接続を制限している方もいるかもしれない。

パスワードが解読されとしてもMACアドレス制限によって登録されていない端末からのネットワークに接続出来ない。しかし、通信機器のMACアドレスの偽装は容易だ。

パスワードの暗号を解読したとする。初めはMACアドレス制限によってアクセスを拒否されるが、その通信を監視し正規の端末がアクセスを発見する。その時のMACアドレスを第三者が偽装しいて侵入する事が可能だ。そもそもアクセスポイントの暗号化の有無に関わらず通信している機器のMACアドレスは丸見えな状態である事を貴方は知っておく必要がある。

5.WPAよりWPA2がより安全!?

WPAとWPA2に歴史的流れがあるが、そこは重要ではない。TKIPかAES(SSMP)の方が問題である。

強化版WEPをTKIP(Temporal Key Integrity Protocol)とイメージすると良い。現在、TKIPはWEPの様に簡単で短時間で解読できるわけではないが、複数の脆弱性がある見つかっている。

つまりWPAであってTKIPなら脆弱で、WPAでもAESならばWPA2のAESと同等のセキュリティを実現している事になる。

6.WPA/WPA2-PSKでAESなら安全!?

Pickup!現在(2017年4月)、アクセスポイントの設定がWPA-PSK、WPA2-PSKでAES可能な物をおススメしているし、WPA2-EAPなら尚良い。
WPA-PSK、WPA2-PSKであっても弱いパスワードなら危険に変わりは無い。

13桁のパスワードを1回の試行から失敗までに数十秒かかるとする。当然複数のマシンから施行したとして1秒間に1個のパスワード試行出来る。全部試行するには13万年以上かかる計算になる。

実際問題として、わざわざアクセスポイントへ試行をしない。正規のユーザが正規の機器でアクセスポイントへのアクセスする際のパケットをロギングする。このパケットを見本に同じアルゴリズムをパスワード候補に適用する。正規のパケットと比較すする事で良いのだからアクセスポイントの応答時間を待つ必要が無い。

但し、正規のパケットの解析には、それなりのマシンが必要になる。約2万個/秒のパスワードが試行できたとして15年必要だ。現在は、CPUだけでなくGPU(ビデオカード)などへ並列分散処理ツールがあるので個人でも約数百万個/秒の試行を個人でも試行でき13桁のパスワードを1カ月程度で突破可能な計算になる。逆説的に言えば、それほどのリソースと時間を割いてまで貴方のアクセスポイントのパスワードを突破して得られるものがあるかと言う事でる。

この様なパスワードを突破するにあたって、過去のパスワード流出事件などが役に立つ、それらの情報をクロス計算して優位性が高いものから順に辞書の様にリスト化しているので、それを順に試していくことで、より早く突破が出来るのだ。だからこそ類推しやすいものを避けなければ数秒で突破されることもある。それが最大文字数でランダム性が高いパスワード設定をおススメする理由だ。

7.アクセスポイントのSSIDを変更すると安全!?

SSIDとパスワードの組み合わせ鍵を予めデータとして作成し、実際のアクセスポイントへのパケットをロギングし比較検討する手法がある。

この優位性は、事前に1カ月間の一番負荷のかかる計算処理をした後に、対象のアクセスポイントの認証パケットと比較するだけで良いのだから、数億個/秒の処理速度になり貴方のアクセスポイントのパスワードを瞬殺で判明する。これに加えて類推しやすいパスワードならば使われるSSIDと数百万個語程度の辞書処理用のデータベースはネットで普通にダウンロード可能だからさらに時間を短縮出来る。

パスワードと同じでSSIDも多い名称が存在する。MyHome、Home、Office、貴方の名称などだ、この手のSSIDなら事前に複数のデータベースを持ち歩いている場合、1カ月の時間を1回で複数のアクセスポイントのパスワードを解析出来ることになる。悪意ある第三者にとってこんな便利な状況は無いのである。

分かり易いSSIDに変更しては意味がない、固有のSSIDを設定した方が良い。同時にパスワードの強度が高い物ならばSSIDに神経質になる必要はないが。

8.アクセスポイントのSSIDを隠ぺい!?

7.に書いた事からアクセスポイントのSIDを隠せ(ピング応答拒否)ば安全と考える人も多い、。しかし、無線LANであってアクセスポイントなのでSSIDを隠すことが出来ても、常時電波を発信している事に変わりは無い。

まず、隠せるのは名前だけで、アクセスポイントの存在自体は隠せない。先ほども述べたとおり、MACアドレスも丸見えだ。そして、正規のクライアントが接続する際に暗号化されていないSSIDが送られるので、その瞬間にSSIDは判明してしまう。これも先ほど解説したように既接続のクライアントを切断・再接続させるのは容易(MACアドレス指定で可能)なので、その気になればSSIDはすぐ分かる。

しかも、クライアント機器は、SSIDを隠しているAPに接続するたびに、毎回SSIDを入力する人は少ない。つまり、自宅のアクセスポイントの名前を隠し、ノートPCやスマートフォンを自動接続設定のまま持ち歩いた場合(わざわざ出かけるたびに設定を変える人は少ないと思われる。)、会社でも学校でも公園でも電車でもファミレスでも、すべての出先で自宅アクセスポイントの名前を喧伝し続けることになる。隠したつもりが公衆に名前を教えているという事態だ。

問題は、アクセスポイント自体が存在しなくてもWPA/WPA2-PSKの解析ができてしまうことだ(WEPも解析できるが、そもそもWEPを使うこと自体が論外なので略)。例えばアクセスポイント名を発信しているノートPCを出先で使用しているところに攻撃者がいたとしよう。攻撃者はターゲットの使用しているアクセスポイント名がわかるので、その名前で偽アクセスポイントを立てる。するとターゲットのノートPCは自動的に接続しようとするが、WPA/WPA2-PSKでは双方が同じパスワードを共有していないと接続できないため、当然接続は失敗する。だが、この際にノートPCからアクセスポイントに送られたパケットだけで、WPA/WPA2-PSKのパスワードを解析することが可能なのだから、SSIDの隠蔽に意味が無い以上に危険性が増す。

SSIDの隠蔽によりカジュアルなハックを防げると言う意見もあるが、そもそもWPA/WPA2-PSK AESで十分強固なパスワードを設定していれば、カジュアルなハックなど問題にならない。それよりもリスクの方が大きいので、SSIDは隠すべきではない。どうしても隠したければ、クライアントに自動接続させないことだ。大変面倒くさいことになるが。

9.暗号化された公衆無線LANは安全!?

公衆無線LANのアクセスポイントでは、WEP、WPA/WPA2-PSKで暗号化され、WEBから簡単にパスワードが発行され接続が出来る。こらは、一般的に無料で高速通信を提供される為に利用者が多いのではないか。しかし、有線LANと違い、アクセスポイントとクライアントの通信は誰でも傍受な点が問題だ。暗号化され安心していても、パスワードさえ知っている者なら暗号解読ができてしまう。なによりも公衆無線LANのパスワードは誰でも入手可能な点からも、暗号化されていないのと同じと言える。

公衆無線LANはアクセスポイントを経由して通信する際には、VPN(Virtual Private Network)の利用がおススメだ。

10.SSL通信なら公衆無線LANは安全!?

公衆無線LANでVPNが利用できない場合には、HTTPS接続(SSL通信)でのみ重要な情報をするいう方法がある。例えばHTTPS接続(SSL通信)のWebメールなら、傍受されてもパスワードやメールの内容が知られる事はない。危険性がゼロではない。

今まで説明した事を複合的攻撃された場合、公衆無線LANで気を付けるべきは、通信を傍受され見られる事だけではない。

接続したアクセスポイントが、本当に接続したい本当のアクセスポイント成りすました物である場合。わざとパスワードを設定していないアクセスポイントである場合には、そこで行う通信の内容を全てを知られる事になる。そして、送受信の内容を書き換える事だった可能なのだ。例えば、貴方が、接続したいWEBサイトに接続したつもりでも本物そっくりのWEBサイト変えられる事もある。その場合、貴方のデバイスにはマルウェアを仕込まれる事もある。

SSL通信されたネットワークになら良いが、接続相手の履歴は貴方のデバイスにcookieとして保存される。そのcookieを改変される事を防ぐ事は極めて困難である為に絶対とは言えない。

OSやデバイスでは無く、通信経路に限った話になるが、未知の脆弱性や未修正の脆弱性であっても、VPNで経路全体が暗号化されていれば防げる(VPNに依存する脆弱性は別問題)。それでも9.と同じく、公衆無線LANを利用するなら、VPN(Virtual Private Network)の利用がおススメだ。

そこで、セキュリティーのAES対応のアクセスポイントを紹介する。

一般家庭向けAP

EX6200-100JPS

  • 有線LAN速度 10/100/1000Mbps
  • 無線LANタイプ IEEE802.11a/b/g/n/ac
  • セキュリティ規格 WPA2/WPA
  • 暗号化形式:WEP/AES/TKIP

WN-AX2033GR

  • 有線LAN速度 10/100/1000Mbps
  • 無線LANタイプ IEEE802.11a/b/g/n/ac
  • セキュリティ規格 WPA2/WPA
  • 暗号化形式:WEP/AES/TKIP

会社業務向けAP

家庭向けと会社向けの差は同時接続数の多さと通信品質の差にあるのでサーバーなどを使う方はある程度信頼のある製品を選択すると良い。
バッファロー AirStation Pro WAPM-2133TR

  • 有線LAN速度 10/100/1000Mbps
  • 無線LANタイプ IEEE802.11a/b/g/n/ac
  • セキュリティ規格 WPA2/WPA
  • 暗号化形式:WEP/AES/TKIP

コメント

タイトルとURLをコピーしました