Ｗｉｒｅｌｅｓｓ Ｌａｎの最近のブログ記事

「無線ＬＡＮ 深刻な欠陥」の見出しと、白抜きで「メール盗み見される危機」と強調された記事が、１０月１８日の毎日新聞に掲載されていました。

同紙によれば、

「無線ＬＡＮに使われている主要な暗号化関連技術に深刻な欠陥があり、やりとりするメールや個人情報を盗み見されるといった可能性があることがベルギーの研究者の調査で分かった。国内の情報セキュリティー機関も１７日、注意を呼び掛けた。
　欠陥が分かったのは「WPA2」という技術。現在使われる中では最もセキュリティーが強固とされ、推奨されていることからセキュリティー業界や利用者の間で驚きが広がった。」

というもの。

何事かと検索したら、セキュリティ規格の WPA2 に脆弱性が見つかり、特定の製品（ＯＳ、デバイスなど）に関係無く影響を受ける（攻撃される）というもので、その攻撃内容から「ＫＲＡＣＫｓ」と呼ばれているようです。

原因は WPA2 の 4way-ハンドシェイクで、クライアントからの応答エラーが有るとアクセスポイントからメッセージを再送する仕組みが在り、再送メッセージを受信したクライアントが「一度だけ使われるべきランダムな文字列」などをリセットすることにより、既に使用されているセッション鍵を再利用させてしまう事にあるらしいです。

★概要

　・WPA2 だけでなく、（恐らく）WPA1 も対象
　・攻撃者は無線ＬＡＮの通信可能範囲にいる必要がある
　・WPA2 の通信データを盗聴される可能性（TKIP, CCMP, GCMP 暗号化プロトコル）
　・Linux と Android は今回の攻撃に非常に弱いらしい
　・HTTPS など別の仕組みで暗号化されている通信データの盗聴可能性無し
　・パスワードを変更しても攻撃を防ぐ事は出来ない

★対策

　・基本的にはクライアント端末（ＰＣ、スマートフォン等）と中継機能を使用するアクセスポイントに修正プログラムの適用が必要
　・HTTPS で接続されている事を確認後、重要データの送受信をする
　・有線ＬＡＮを使用し、無線ＬＡＮは使用しない
　・可能ならばＶＰＮを使用する

★気掛かり

　・無線ＬＡＮ対応家電や無線ＬＡＮ対応周辺機器のメーカーが修正プログラムの配布をしてくれるのかどうか？

★追加修正

「無線ＬＡＮのセキュリティ問題点」の記事で、比較表が不正確だったので修正します。

 

無線ＬＡＮで用いられる暗号化技術の比較

セキュリティ規格	ＷＥＰ	ＷＰＡ	ＷＰＡ２
暗号化方式	ＷＥＰ	ＴＫＩＰ	ＣＣＭＰ
暗号化アルゴリズム	ＷＥＰによるＲＣ４	ＴＫＩＰによるＲＣ４	ＣＣＭＰによるＡＥＳ
暗号鍵の生成方法	単純	複雑	複雑
暗号鍵の更新機能	無し	有り	有り
データ改竄検知	無し	有り	有り
暗号の解読	比較的容易	困難	現状は不可能（？）

ここでは、無線ＬＡＮ内蔵パソコンで、無線ネットワークに手動で接続する場合について説明します。
認証・暗号化方式は、現在一般家庭用で最も強力・安全とされているＷＰＡ２－ＰＳＫ（ＡＥＳ）とします。
但し、ＸＰではＳＰ３のみが、ＷＰＡ２－ＰＳＫを利用可能です。

事前に無線ＬＡＮ親機に、セキュリティの設定を行い、次の設定情報を確認して下さい。

　・ネットワーク名（ＳＳＩＤ）
　・セキュリティの種類
　・暗号化の種類
　・セキュリティキー

１．「ネットワーク接続」画面を開くのに、３つの方法があります。

　（１）「スタートメニュー」画面で、「接続」を選択して、「すべての接続の表示」のリンクをクリックします。

 

　（２）「コントロールパネル」のカテゴリ表示画面の場合、「ネットワークとインターネット接続」のリンクをクリックして、ネットワークとインターネット接続を開きます。

 

　　「ネットワークとインターネット接続」画面で、「ネットワーク接続」のリンクをクリックします。

 

　（３）「コントロールパネル」のクラシック表示画面の場合、「ネットワーク接続」のリンクをクリックします。

 

２．「ネットワーク接続」画面で、「ワイヤレス ネットワーク接続」をマウスの右クリックし、「プロパティ」をクリックして、ワイヤレスネットワーク接続のプロパティを開きます。

 

３．「ワイヤレス ネットワーク接続のプロパティ」画面で、「ワイヤレス ネットワーク」タブを選択して、「追加」ボタンをクリックします。

 

４．「ワイヤレス ネットワークのプロパティ」画面で、「アソシエーション」タブを選択して、無線ＬＡＮ親機の設定情報を入力します。

先ず、

　「キーは自動的に提供される」にチェックが付いている場合、チェックボックスをクリックしてチェックを外します。

次に、ワイヤレスネットワークキーの情報を入力します。
注）無線ＬＡＮ親機の設定と同じ情報を入力する必要があります。
　　　ネットワーク認証には、ＷＰＡ２
　　　データの暗号化には、ＡＥＳ
　　　ネットワークキーには、ＰＳＫの事前共有鍵（２１文字以上を推奨）を入力して下さい。

続けて

　「このネットワークがブロードキャストしていない場合でも接続する」のチェックボックスをクリックしてチェックを付けます。

「ＯＫ」ボタンをクリックします。

５．「ワイヤレス ネットワーク接続のプロパティ」画面に戻るので、「ＯＫ」ボタンをクリックします。

ここでは、無線ＬＡＮ内蔵パソコンで、無線ネットワークに手動で接続する場合について説明します。
認証・暗号化方式は、現在一般家庭用で最も強力・安全とされているＷＰＡ２－ＰＳＫ（ＡＥＳ）とします。

事前に無線ＬＡＮ親機に、セキュリティの設定を行い、次の設定情報を確認して下さい。

　・ネットワーク名（ＳＳＩＤ）
　・セキュリティの種類
　・暗号化の種類
　・セキュリティキー

１．「スタートメニュー」画面で、「コントロールパネル」ボタンをクリックして、コントロールパネルを開きます。

２．「コントロールパネル」画面で、"ネットワークとインターネット"の「ネットワークの状態とタスクの表示」のリンクをクリックして、ネットワークと共有センターを開きます。

 

３．「ネットワークと共有センター」画面で、「新しい接続またはネットワークのセットアップ」のリンクをクリックして、接続またはネットワークのセットアップを開きます。

 

４．「接続またはネットワークのセットアップ」画面で、「ワイヤレスネットワークに手動で接続します」を選択し、「次へ」ボタンをクリックします。

 

５．「ワイヤレスネットワークに手動で接続します」の画面で、無線ＬＡＮ親機の設定情報を入力します。

　注）入力するワイヤレスネットワークの情報は、無線ＬＡＮ親機の設定と同じ情報を入力する必要があります。
　　　セキュリティの種類には、ＷＰＡ２
　　　暗号化の種類には、ＡＥＳ
　　　セキュリティキーには、ＰＳＫの事前共有鍵（２１文字以上を推奨）を入力して下さい。

続けて、

　「この接続を自動的に開始します」のチェックボックスをクリックしてチェックを付けます。
　「ネットワークがブロードキャストを行っていない場合でも接続する」のチェックボックスをクリックしてチェックを付けます。

「次へ」ボタンをクリックします。

６．「ワイヤレスネットワークに手動で接続します」の更新画面で、「正常に（ネットワーク名）を追加しました」と表示されれば、セキュリティ設定は終了です。「閉じる」ボタンをクリックして下さい。

ここでは、無線ＬＡＮ内蔵パソコンで、無線ＬＡＮ親機がネットワーク名（ＳＳＩＤ）を通知する場合について説明します。
認証・暗号化方式は、現在一般家庭用で最も強力・安全とされているＷＰＡ２－ＰＳＫ（ＡＥＳ）とします。

ただ、ＳＳＩＤは通知しない設定の方が、不正アクセスなどへのセキュリティが高まると言われていますが、無線ＬＡＮをワンタッチで自動設定出来るＷＰＳ（Wi-Fi Protected Setup）を利用する場合など、ＳＳＩＤを公開して使用するのが一般的です。

１．「スタートメニュー」画面で、「コントロールパネル」ボタンをクリックして、コントロールパネルを開きます。

 

２．「コントロールパネル」画面で、「ネットワークとインターネット」のリンクをクリックして、ネットワークとインターネットを開きます。

 

３．「ネットワークとインターネット」画面で、「ネットワークと共有センター」のリンクをクリックして、ネットワークと共有センターを開きます。

 

４．「ネットワークと共有センター」画面で、「ネットワークに接続」のリンクをクリックして、ネットワークに接続を開きます。

 

５．「ネットワークに接続」画面で、ネットワーク名を確認して、接続する親機を選択し、「接続」ボタンをクリックします。

 

６．「ネットワークに接続」の更新画面で、「アクセスポイントの構成ボタンを押してください」と表示された場合、何もせず「次へ」ボタンをクリックして下さい。

 

７．「ネットワークに接続」の更新画面で、通信したい無線ＬＡＮ親機の設定と同じ「セキュリティキーまたはパスフレーズ」を入力して、「接続」ボタンをクリックします。

　注）セキュリティキーまたはパスフレーズには、ＰＳＫの事前共有鍵（２１文字以上を推奨）を入力して下さい。

８．「ネットワークに接続」の更新画面で、「（ネットワーク名）に正しく接続しました」と表示されれば、セキュリティ設定は終了です。「閉じる」ボタンをクリックして下さい。

無線ＬＡＮで用いられる暗号化方式の比較

		ＷＥＰ	ＷＰＡ	ＷＰＡ２
暗 号	解読	比較的容易	困難	現状は不可能
	鍵の生成方法	単純	複雑	複雑
	鍵の更新機能	無し	有り	有り
	技術	ＲＣ４	ＲＣ４	ＡＥＳ
データ改竄検知		無し	有り	有り

 

・ＷＥＰには、以下の欠点がある為、使用する事が推奨されていません。
また、２０１４年からＷｉ－ＦｉＣｅｒｔｉｆｉｅｄプログラムで使用が禁止される予定です。

　１．暗号化に使う鍵データの生成方法が単純である為、解析が容易である
　２．パスワードを変更しない限り、暗号化に使う鍵は同じものが使用され続ける
　３．１と２が原因で、暗号化方式そのものが既に解読されている
　４．通信データ改竄を検知出来ない

・ＷＰＡは、ＷＥＰの欠点として上述した１、２、４が改善されていますが、暗号強度に直接影響する暗号技術がＷＥＰと同じである為、暗号化方式としては万全ではありません。
また、２０１４年以降Ｗｉ－ＦｉＣｅｒｔｉｆｉｅｄプログラムでＴＫＩＰの使用を中止する予定です。

・ＷＰＡ２では、ＷＥＰやＷＰＡの欠点が全て解消されています。
一般家庭においては、暗号化方式として「ＷＰＡ２－ＰＳＫ（ＡＥＳ）」が、現時点で最も強力であり安全です。

以下の機能は、セキュリティシステムを併用しない場合、不正アクセスされる危険性が非常に高くなります。

・ＳＳＩＤは、ユーザ認証方法として利用される事もありますが、セキュリティを目的としたものではなく、無線ＬＡＮ子機の接続を容易にする為のもです。

・ＳＳＩＤ隠蔽モードは、ビーコン信号以外にも、無線接続時にＳＳＩＤを含むフレームが存在する為、読み取られる可能性があります。

・ＭＡＣアドレスフィルタリングは、無線送受信パケットのＭＡＣアドレスを盗聴された場合、成り済ましによる不正アクセスを受ける可能性があります。

無線ＬＡＮは、悪意ある者から不正アクセスの対象として狙われ易い環境であるとも言え、無防備な親機が犯罪に利用されたと思われる事件が数多く起きています。

無線ＬＡＮでは、「認証」と「暗号化」がセキュリティの基本的な手法です。

正規のユーザーのみが、親機に接続出来るように、予め接続を許可するユーザーを登録して認証します。
しかし、認証されていなくても電波を傍受すれば、通信データの盗聴が可能です。その為、認証だけではなく、データを暗号化して内容が分からないようにする事が重要です。

但し、この暗号化方式が強力でないと、短時間でセキュリティが破られ、無断利用されてしまいます。

無線ＬＡＮネットワークが持つセキュリティ機能には、「アクセス制御」と「セキュリティシステム＆データの暗号化」の二種類があります。

・アクセス制御

１．ＳＳＩＤ（Service Set ID）指定機能
　　ＳＳＩＤは、接続先の無線ＬＡＮ親機を指定する識別子（３２文字以内）で、ネットワーク名です。
　　同じＳＳＩＤを設定した無線ＬＡＮ子機だけが接続可能となります。
　　ＥＳＳＩＤ（Extended SSID）とも呼ばれます。

２．ＭＡＣ（Media Access Control）アドレスフィルタリング機能
　　ＭＡＣアドレスは、ネットワーク機器固有のアドレスで、予め親機に登録する事で接続可能な子機を制限します。

３．ＡＮＹ接続拒否機能
　　ＳＳＩＤが空白か"ａｎｙ"が設定されている子機からの接続要求を拒否します。

４．ＳＳＩＤ隠蔽（ステルス）機能
　　ビーコン信号にＳＳＩＤを含めない、またはビーコン信号の無効化。

・セキュリティシステム＆データの暗号化

１．ＷＥＰ（Wired Equivalent Privacy）
　　ＷＥＰは、無線ＬＡＮの世界で最初に登場した暗号化方式です。
　　ＲＣ４と呼ばれる暗号化アルゴリズムを元にした共有鍵による暗号システムで、ＩＥＥＥ８０２．１１で採用されました。
　　秘密鍵には、４０ｂｉｔまたは１２８ｂｉｔのデータを使用します。

２．ＷＰＡ（Wi-Fi Protected Access）
　　ＷＰＡは、欠点が多いＷＥＰの代わりとして考えられた方式です。
　　Ｗｉ－Ｆｉ Ａｌｌｉａｎｃｅが２００２年に制定したセキュリティシステムで、暗号化とユーザ認証の組み合わせです。
　　暗号化プロトコルにＴＫＩＰを使用します。
　　一般家庭用として、簡易認証方式のＰＳＫ（Pre-Shared Key、事前共有鍵による暗号システム、８～６３文字以内）を使うＷＰＡ－ＰＳＫ（ＷＰＡ－パーソナル）があります。

３．ＷＰＡ２（Wi-Fi Protected Access 2）
　　ＷＰＡ２は、ＷＰＡの改良版です。
　　Ｗｉ－Ｆｉ Ａｌｌｉａｎｃｅが２００４年に制定したセキュリティシステムで、ユーザ認証とデータ暗号化にＣＣＭＰを使用します。
　　より強力な暗号技術であるＡＥＳを採用し、ＷＰＡより堅牢なセキュリティ方式です。
　　一般家庭用として、簡易認証方式のＰＳＫ（Pre-Shared Key、事前共有鍵による暗号システム、８～６３文字以内）を使うＷＰＡ２－ＰＳＫ（ＷＰＡ２－パーソナル）があります。

Ⅰ．ＴＫＩＰ（Temporal Key Integrity Protocol）
　　パケット毎に暗号鍵を自動生成する暗号化プロトコル。

Ⅱ．ＡＥＳ（Advanced Encryption Standard）
　　米商務省標準技術局（ＮＩＳＴ）によって、２００１年に米国政府の標準暗号化技術として認定された。
　　２０１２年現在、最も強固なセキュリティ性を持った暗号化方式です。

・補足：

暗号化方式

　ＷＰＡ－ＰＳＫ（ＴＫＩＰ）：ＷＰＡは、ＴＫＩＰを標準の暗号化アルゴリズムとし、ＡＥＳはオプション扱いとなっています。
　ＷＰＡ２－ＰＳＫ（ＡＥＳ）：ＷＰＡ２は、ＡＥＳを標準の暗号化アルゴリズムとし、ＴＫＩＰは従の扱いとなっています。

 

無線ＬＡＮセキュリティ規格概要纏め

名称	制定年度	制定者	特徴	強度
ＷＥＰ	１９９７	ＩＥＥＥ	強力なユーザ認証無し 基本的な暗号化	△
ＷＰＡ	２００２	ＷｉＦｉアライアンス	ユーザ認証：ＰＳＫ、個人用 ＴＫＩＰによる暗号化	○
ＷＰＡ２	２００４	ＷｉＦｉアライアンス	ユーザ認証：ＰＳＫ、個人用 ＡＥＳによる強力な暗号化	◎

一般的に、ＩＥＥＥ ８０２．１１の技術規格に準拠した機器で構成されるネットワークを無線ＬＡＮと呼びます。

・１９９７年、「ＩＥＥＥ ８０２．１１」が規格化されましたが、伝送速度が１～２Ｍｂｐｓだった為に余り利用されませんでした。

・次に、２．４ＧＨｚ帯の電波を使用した高速通信の「ＩＥＥＥ ８０２．１１ｂ」が規格化され、最高１１Ｍｂｐｓの伝送速度を実現しました。この伝送速度向上により、家庭での利用が広まり、無線ＬＡＮが普及しました。

・５ＧＨｚ帯の電波を使用し、最大５４Ｍｂｐｓの伝送速度を実現した「ＩＥＥＥ ８０２．１１ａ」が規格化されました。

・ＩＥＥＥ ８０２．１１ｂとの上位互換性を保ちながら、伝送速度の高速化と、更にＩＥＥＥ ８０２．１１ａとの上位互換性を図る事を目指して「ＩＥＥＥ ８０２．１１ｇ」が規格化されました。

・２００９年、１００Ｍｂｐｓ以上の高速化を目指して、「ＩＥＥＥ ８０２．１１ｎ」が規格化されました。
ＩＥＥＥ ８０２．１１ｎは、２．４ＧＨｚ／５ＧＨｚの２つの周波数帯を使用出来、規格上の最高伝送速度６００Ｍｂｐｓを実現します。この高速化は、"ＭＩＭＯ（Multiple Input Multiple Output）"や"チャンネルボンディング"、"フレームアグリゲーション"などの複数の技術を組み合わせる事で実現されています。

 

無線ＬＡＮ ＩＥＥＥ８０２．１１規格概要纏め

規格	周波数帯	伝送速度	備考
802.11b	2.4～2.5GHz	最大１１Ｍｂｐｓ	ＣＣＫ変調方式
802.11a	5.15～5.35GHz 5.47～5.725GHz	最大５４Ｍｂｐｓ	ＯＦＤＭ変調方式
802.11g	2.4～2.5GHz	最大５４Ｍｂｐｓ	－
802.11n	2.4GHz／5GHz	最大６００Ｍｂｐｓ	ＭＩＭＯは複数のアンテナを同時に使用して １つのデータストリームを分割・多重化。 同時に送受信する事で単位時間当たりの データ送受信量を増加させる技術

無線ＬＡＮは、アクセスポイント（ＡＰ、基地局）と呼ばれる親機とパソコンやゲーム機、スマートホンなどの子機（端末）との間で通信を行うネットワーク環境の事です。

子機同士の通信では、アドホックモードとインフラストラクチャモードの２つのモードが存在します。

　・アドホックモードでは、親機は存在せず、子機同士が直接通信するモードです（携帯用ゲーム機同士での通信など）。
　・インフラストラクチャモードは、一般的な利用モードであり、子機間の通信は親機を通して行われます。

無線ＬＡＮは、電波を使って通信するのでケーブル配線を気にする事無く、好きな場所でインターネット接続やメールの送受信が出来、一般家庭のネットワークで広く使われるようになりました。

また、電波の届く範囲ならば、壁などの障害物を超えてどこでも通信が可能という便利さも備えています。

しかし、電波を利用するという性質上、通信内容の傍受（盗聴）や不正利用、ＡＰのなりすまし等の危険性があります。
その為、危険性に十分配慮し（不正アクセスに気付き難い等も）、出来る限りのセキュリティ対策を行う必要があります。

想定される被害：

　・無線ＬＡＮ環境を無断で利用される。
　・通信データを盗聴・漏洩・改竄される。
　・無線ＬＡＮ環境に侵入され、重要な情報を盗まれたり、踏み台として利用される。

無線ＬＡＮを安全に利用する為には、暗号化の設定が必要です。
２０１２年２月時点の一般家庭（個人用）では、ＷＰＡ２－ＰＳＫ方式による暗号化が推奨されています。