Wireless Lanの最近のブログ記事

「無線LAN 深刻な欠陥」の見出しと、白抜きで「メール盗み見される危機」と強調された記事が、10月18日の毎日新聞に掲載されていました。

同紙によれば、

「無線LANに使われている主要な暗号化関連技術に深刻な欠陥があり、やりとりするメールや個人情報を盗み見されるといった可能性があることがベルギーの研究者の調査で分かった。国内の情報セキュリティー機関も17日、注意を呼び掛けた。
 欠陥が分かったのは「WPA2」という技術。現在使われる中では最もセキュリティーが強固とされ、推奨されていることからセキュリティー業界や利用者の間で驚きが広がった。」

というもの。

何事かと検索したら、セキュリティ規格の WPA2 に脆弱性が見つかり、特定の製品(OS、デバイスなど)に関係無く影響を受ける(攻撃される)というもので、その攻撃内容から「KRACKs」と呼ばれているようです。

原因は WPA2 の 4way-ハンドシェイクで、クライアントからの応答エラーが有るとアクセスポイントからメッセージを再送する仕組みが在り、再送メッセージを受信したクライアントが「一度だけ使われるべきランダムな文字列」などをリセットすることにより、既に使用されているセッション鍵を再利用させてしまう事にあるらしいです。


★概要

 ・WPA2 だけでなく、(恐らく)WPA1 も対象
 ・攻撃者は無線LANの通信可能範囲にいる必要がある
 ・WPA2 の通信データを盗聴される可能性(TKIP, CCMP, GCMP 暗号化プロトコル)
 ・Linux と Android は今回の攻撃に非常に弱いらしい
 ・HTTPS など別の仕組みで暗号化されている通信データの盗聴可能性無し
 ・パスワードを変更しても攻撃を防ぐ事は出来ない


★対策

 ・基本的にはクライアント端末(PC、スマートフォン等)と中継機能を使用するアクセスポイントに修正プログラムの適用が必要
 ・HTTPS で接続されている事を確認後、重要データの送受信をする
 ・有線LANを使用し、無線LANは使用しない
 ・可能ならばVPNを使用する


★気掛かり

 ・無線LAN対応家電や無線LAN対応周辺機器のメーカーが修正プログラムの配布をしてくれるのかどうか?


★追加修正

無線LANのセキュリティ問題点」の記事で、比較表が不正確だったので修正します。

 

無線LANで用いられる暗号化技術の比較
セキュリティ規格WEPWPAWPA2
暗号化方式 WEP TKIP CCMP
暗号化アルゴリズム WEPによるRC4 TKIPによるRC4 CCMPによるAES
暗号鍵の生成方法 単純 複雑 複雑
暗号鍵の更新機能 無し 有り 有り
データ改竄検知 無し 有り 有り
暗号の解読 比較的容易 困難 現状は不可能(?)

ここでは、無線LAN内蔵パソコンで、無線ネットワークに手動で接続する場合について説明します。
認証・暗号化方式は、現在一般家庭用で最も強力・安全とされているWPA2-PSK(AES)とします。
但し、XPではSP3のみが、WPA2-PSKを利用可能です。

事前に無線LAN親機に、セキュリティの設定を行い、次の設定情報を確認して下さい。

 ・ネットワーク名(SSID)
 ・セキュリティの種類
 ・暗号化の種類
 ・セキュリティキー


1.「ネットワーク接続」画面を開くのに、3つの方法があります。

 (1)「スタートメニュー」画面で、「接続」を選択して、「すべての接続の表示」のリンクをクリックします。

スタートメニューの画面で、すべての接続の表示を選択

 

 (2)「コントロールパネル」のカテゴリ表示画面の場合、「ネットワークとインターネット接続」のリンクをクリックして、ネットワークとインターネット接続を開きます。

コントロールパネルのカテゴリ表示の画面で、ネットワークとインターネット接続を選択

 

  「ネットワークとインターネット接続」画面で、「ネットワーク接続」のリンクをクリックします。

ネットワークとインターネット接続の画面で、ネットワーク接続を選択

 

 (3)「コントロールパネル」のクラシック表示画面の場合、「ネットワーク接続」のリンクをクリックします。

コントロールパネルのクラシック表示の画面で、ネットワーク接続を選択

 

2.「ネットワーク接続」画面で、「ワイヤレス ネットワーク接続」をマウスの右クリックし、「プロパティ」をクリックして、ワイヤレスネットワーク接続のプロパティを開きます。

ネットワーク接続の画面で、ワイヤレス ネットワーク接続のプロパティを選択

 

3.「ワイヤレス ネットワーク接続のプロパティ」画面で、「ワイヤレス ネットワーク」タブを選択して、「追加」ボタンをクリックします。

ワイヤレス ネットワーク接続のプロパティの画面で、ワイヤレス ネットワークタブを選択し、追加ボタンを選択

 

4.「ワイヤレス ネットワークのプロパティ」画面で、「アソシエーション」タブを選択して、無線LAN親機の設定情報を入力します。

ワイヤレス ネットワークのプロパティの画面で、アソシエーションタブを選択し、無線LAN親機の設定情報を入力

先ず、

 「キーは自動的に提供される」にチェックが付いている場合、チェックボックスをクリックしてチェックを外します。

次に、ワイヤレスネットワークキーの情報を入力します。
注)無線LAN親機の設定と同じ情報を入力する必要があります。
   ネットワーク認証には、WPA2
   データの暗号化には、AES
   ネットワークキーには、PSKの事前共有鍵(21文字以上を推奨)を入力して下さい。

続けて

 「このネットワークがブロードキャストしていない場合でも接続する」のチェックボックスをクリックしてチェックを付けます。

「OK」ボタンをクリックします。


5.「ワイヤレス ネットワーク接続のプロパティ」画面に戻るので、「OK」ボタンをクリックします。

ワイヤレス ネットワークのプロパティの画面で、OKボタンを選択

ここでは、無線LAN内蔵パソコンで、無線ネットワークに手動で接続する場合について説明します。
認証・暗号化方式は、現在一般家庭用で最も強力・安全とされているWPA2-PSK(AES)とします。

事前に無線LAN親機に、セキュリティの設定を行い、次の設定情報を確認して下さい。

 ・ネットワーク名(SSID)
 ・セキュリティの種類
 ・暗号化の種類
 ・セキュリティキー


1.「スタートメニュー」画面で、「コントロールパネル」ボタンをクリックして、コントロールパネルを開きます。


2.「コントロールパネル」画面で、"ネットワークとインターネット"の「ネットワークの状態とタスクの表示」のリンクをクリックして、ネットワークと共有センターを開きます。

コントロールパネルの画面で、ネットワークの状態とタスクの表示を選択

 

3.「ネットワークと共有センター」画面で、「新しい接続またはネットワークのセットアップ」のリンクをクリックして、接続またはネットワークのセットアップを開きます。

ネットワークと共有センターの画面で、新しい接続またはネットワークのセットアップを選択

 

4.「接続またはネットワークのセットアップ」画面で、「ワイヤレスネットワークに手動で接続します」を選択し、「次へ」ボタンをクリックします。

接続またはネットワークのセットアップの画面で、ワイヤレスネットワークに手動で接続しますを選択

 

5.「ワイヤレスネットワークに手動で接続します」の画面で、無線LAN親機の設定情報を入力します。

ワイヤレスネットワークに手動で接続しますの画面で、無線LAN親機の設定情報を入力

 注)入力するワイヤレスネットワークの情報は、無線LAN親機の設定と同じ情報を入力する必要があります。
   セキュリティの種類には、WPA2
   暗号化の種類には、AES
   セキュリティキーには、PSKの事前共有鍵(21文字以上を推奨)を入力して下さい。

続けて、

 「この接続を自動的に開始します」のチェックボックスをクリックしてチェックを付けます。
 「ネットワークがブロードキャストを行っていない場合でも接続する」のチェックボックスをクリックしてチェックを付けます。

「次へ」ボタンをクリックします。


6.「ワイヤレスネットワークに手動で接続します」の更新画面で、「正常に(ネットワーク名)を追加しました」と表示されれば、セキュリティ設定は終了です。「閉じる」ボタンをクリックして下さい。

ワイヤレスネットワークに手動で接続しますの更新画面で、正常に(ネットワーク名)を追加しましたとの表示

ここでは、無線LAN内蔵パソコンで、無線LAN親機がネットワーク名(SSID)を通知する場合について説明します。
認証・暗号化方式は、現在一般家庭用で最も強力・安全とされているWPA2-PSK(AES)とします。

ただ、SSIDは通知しない設定の方が、不正アクセスなどへのセキュリティが高まると言われていますが、無線LANをワンタッチで自動設定出来るWPS(Wi-Fi Protected Setup)を利用する場合など、SSIDを公開して使用するのが一般的です。


1.「スタートメニュー」画面で、「コントロールパネル」ボタンをクリックして、コントロールパネルを開きます。

スタートメニューの画面で、コントロールパネルを選択

 

2.「コントロールパネル」画面で、「ネットワークとインターネット」のリンクをクリックして、ネットワークとインターネットを開きます。

コントロールパネルの画面で、ネットワークとインターネットを選択

 

3.「ネットワークとインターネット」画面で、「ネットワークと共有センター」のリンクをクリックして、ネットワークと共有センターを開きます。

ネットワークとインターネットの画面で、ネットワークと共有センターを選択

 

4.「ネットワークと共有センター」画面で、「ネットワークに接続」のリンクをクリックして、ネットワークに接続を開きます。

ネットワークと共有センターの画面で、ネットワークに接続を選択

 

5.「ネットワークに接続」画面で、ネットワーク名を確認して、接続する親機を選択し、「接続」ボタンをクリックします。

ネットワークに接続の画面で、ネットワーク名を確認して、接続する親機を選択

 

6.「ネットワークに接続」の更新画面で、「アクセスポイントの構成ボタンを押してください」と表示された場合、何もせず「次へ」ボタンをクリックして下さい。

ネットワークに接続の更新画面で、アクセスポイントの構成ボタンを押してくださいとの表示

 

7.「ネットワークに接続」の更新画面で、通信したい無線LAN親機の設定と同じ「セキュリティキーまたはパスフレーズ」を入力して、「接続」ボタンをクリックします。

ネットワークに接続の更新画面で、セキュリティキーまたはパスフレーズを入力

 注)セキュリティキーまたはパスフレーズには、PSKの事前共有鍵(21文字以上を推奨)を入力して下さい。


8.「ネットワークに接続」の更新画面で、「(ネットワーク名)に正しく接続しました」と表示されれば、セキュリティ設定は終了です。「閉じる」ボタンをクリックして下さい。

ネットワークに接続の更新画面で、(ネットワーク名)に正しく接続しましたとの表示

無線LANで用いられる暗号化方式の比較
  WEP WPA WPA2

解読 比較的容易 困難 現状は不可能
鍵の生成方法 単純 複雑 複雑
鍵の更新機能 無し 有り 有り
技術 RC4 RC4 AES
データ改竄検知 無し 有り 有り

 

・WEPには、以下の欠点がある為、使用する事が推奨されていません。
また、2014年からWi-FiCertifiedプログラムで使用が禁止される予定です。

 1.暗号化に使う鍵データの生成方法が単純である為、解析が容易である
 2.パスワードを変更しない限り、暗号化に使う鍵は同じものが使用され続ける
 3.1と2が原因で、暗号化方式そのものが既に解読されている
 4.通信データ改竄を検知出来ない

・WPAは、WEPの欠点として上述した1、2、4が改善されていますが、暗号強度に直接影響する暗号技術がWEPと同じである為、暗号化方式としては万全ではありません。
また、2014年以降Wi-FiCertifiedプログラムでTKIPの使用を中止する予定です。

・WPA2では、WEPやWPAの欠点が全て解消されています。
一般家庭においては、暗号化方式として「WPA2-PSK(AES)」が、現時点で最も強力であり安全です。


以下の機能は、セキュリティシステムを併用しない場合、不正アクセスされる危険性が非常に高くなります。

・SSIDは、ユーザ認証方法として利用される事もありますが、セキュリティを目的としたものではなく、無線LAN子機の接続を容易にする為のもです。

・SSID隠蔽モードは、ビーコン信号以外にも、無線接続時にSSIDを含むフレームが存在する為、読み取られる可能性があります。

・MACアドレスフィルタリングは、無線送受信パケットのMACアドレスを盗聴された場合、成り済ましによる不正アクセスを受ける可能性があります。

無線LANは、悪意ある者から不正アクセスの対象として狙われ易い環境であるとも言え、無防備な親機が犯罪に利用されたと思われる事件が数多く起きています。

無線LANでは、「認証」と「暗号化」がセキュリティの基本的な手法です。

正規のユーザーのみが、親機に接続出来るように、予め接続を許可するユーザーを登録して認証します。
しかし、認証されていなくても電波を傍受すれば、通信データの盗聴が可能です。その為、認証だけではなく、データを暗号化して内容が分からないようにする事が重要です。

但し、この暗号化方式が強力でないと、短時間でセキュリティが破られ、無断利用されてしまいます。

無線LANネットワークが持つセキュリティ機能には、「アクセス制御」と「セキュリティシステム&データの暗号化」の二種類があります。

・アクセス制御

1.SSID(Service Set ID)指定機能
  SSIDは、接続先の無線LAN親機を指定する識別子(32文字以内)で、ネットワーク名です。
  同じSSIDを設定した無線LAN子機だけが接続可能となります。
  ESSID(Extended SSID)とも呼ばれます。

2.MAC(Media Access Control)アドレスフィルタリング機能
  MACアドレスは、ネットワーク機器固有のアドレスで、予め親機に登録する事で接続可能な子機を制限します。

3.ANY接続拒否機能
  SSIDが空白か"any"が設定されている子機からの接続要求を拒否します。

4.SSID隠蔽(ステルス)機能
  ビーコン信号にSSIDを含めない、またはビーコン信号の無効化。


・セキュリティシステム&データの暗号化

1.WEP(Wired Equivalent Privacy)
  WEPは、無線LANの世界で最初に登場した暗号化方式です。
  RC4と呼ばれる暗号化アルゴリズムを元にした共有鍵による暗号システムで、IEEE802.11で採用されました。
  秘密鍵には、40bitまたは128bitのデータを使用します。

2.WPA(Wi-Fi Protected Access)
  WPAは、欠点が多いWEPの代わりとして考えられた方式です。
  Wi-Fi Allianceが2002年に制定したセキュリティシステムで、暗号化とユーザ認証の組み合わせです。
  暗号化プロトコルにTKIPを使用します。
  一般家庭用として、簡易認証方式のPSK(Pre-Shared Key、事前共有鍵による暗号システム、8~63文字以内)を使うWPA-PSK(WPA-パーソナル)があります。

3.WPA2(Wi-Fi Protected Access 2)
  WPA2は、WPAの改良版です。
  Wi-Fi Allianceが2004年に制定したセキュリティシステムで、ユーザ認証とデータ暗号化にCCMPを使用します。
  より強力な暗号技術であるAESを採用し、WPAより堅牢なセキュリティ方式です。
  一般家庭用として、簡易認証方式のPSK(Pre-Shared Key、事前共有鍵による暗号システム、8~63文字以内)を使うWPA2-PSK(WPA2-パーソナル)があります。


Ⅰ.TKIP(Temporal Key Integrity Protocol)
  パケット毎に暗号鍵を自動生成する暗号化プロトコル。

Ⅱ.AES(Advanced Encryption Standard)
  米商務省標準技術局(NIST)によって、2001年に米国政府の標準暗号化技術として認定された。
  2012年現在、最も強固なセキュリティ性を持った暗号化方式です。


・補足:

暗号化方式

 WPA-PSK(TKIP):WPAは、TKIPを標準の暗号化アルゴリズムとし、AESはオプション扱いとなっています。
 WPA2-PSK(AES):WPA2は、AESを標準の暗号化アルゴリズムとし、TKIPは従の扱いとなっています。

 

無線LANセキュリティ規格概要纏め
名称 制定年度 制定者 特徴 強度
WEP 1997 IEEE 強力なユーザ認証無し
基本的な暗号化
WPA 2002 WiFiアライアンス ユーザ認証:PSK、個人用
TKIPによる暗号化
WPA2 2004 WiFiアライアンス ユーザ認証:PSK、個人用
AESによる強力な暗号化

無線LANの規格概要

|

一般的に、IEEE 802.11の技術規格に準拠した機器で構成されるネットワークを無線LANと呼びます。

・1997年、「IEEE 802.11」が規格化されましたが、伝送速度が1~2Mbpsだった為に余り利用されませんでした。

・次に、2.4GHz帯の電波を使用した高速通信の「IEEE 802.11b」が規格化され、最高11Mbpsの伝送速度を実現しました。この伝送速度向上により、家庭での利用が広まり、無線LANが普及しました。

・5GHz帯の電波を使用し、最大54Mbpsの伝送速度を実現した「IEEE 802.11a」が規格化されました。

・IEEE 802.11bとの上位互換性を保ちながら、伝送速度の高速化と、更にIEEE 802.11aとの上位互換性を図る事を目指して「IEEE 802.11g」が規格化されました。

・2009年、100Mbps以上の高速化を目指して、「IEEE 802.11n」が規格化されました。
IEEE 802.11nは、2.4GHz/5GHzの2つの周波数帯を使用出来、規格上の最高伝送速度600Mbpsを実現します。この高速化は、"MIMO(Multiple Input Multiple Output)"や"チャンネルボンディング"、"フレームアグリゲーション"などの複数の技術を組み合わせる事で実現されています。

 

無線LAN IEEE802.11規格概要纏め
規格 周波数帯 伝送速度 備考
802.11b 2.4~2.5GHz 最大11Mbps CCK変調方式
802.11a 5.15~5.35GHz
5.47~5.725GHz
最大54Mbps OFDM変調方式
802.11g 2.4~2.5GHz 最大54Mbps
802.11n 2.4GHz/5GHz 最大600Mbps MIMOは複数のアンテナを同時に使用して
1つのデータストリームを分割・多重化。
同時に送受信する事で単位時間当たりの
データ送受信量を増加させる技術

無線LANを安全に使う

|

無線LANは、アクセスポイント(AP、基地局)と呼ばれる親機とパソコンやゲーム機、スマートホンなどの子機(端末)との間で通信を行うネットワーク環境の事です。

子機同士の通信では、アドホックモードとインフラストラクチャモードの2つのモードが存在します。

 ・アドホックモードでは、親機は存在せず、子機同士が直接通信するモードです(携帯用ゲーム機同士での通信など)。
 ・インフラストラクチャモードは、一般的な利用モードであり、子機間の通信は親機を通して行われます。

無線LANは、電波を使って通信するのでケーブル配線を気にする事無く、好きな場所でインターネット接続やメールの送受信が出来、一般家庭のネットワークで広く使われるようになりました。

また、電波の届く範囲ならば、壁などの障害物を超えてどこでも通信が可能という便利さも備えています。

しかし、電波を利用するという性質上、通信内容の傍受(盗聴)や不正利用、APのなりすまし等の危険性があります。
その為、危険性に十分配慮し(不正アクセスに気付き難い等も)、出来る限りのセキュリティ対策を行う必要があります。


想定される被害:

 ・無線LAN環境を無断で利用される。
 ・通信データを盗聴・漏洩・改竄される。
 ・無線LAN環境に侵入され、重要な情報を盗まれたり、踏み台として利用される。


無線LANを安全に利用する為には、暗号化の設定が必要です。
2012年2月時点の一般家庭(個人用)では、WPA2-PSK方式による暗号化が推奨されています。

このアーカイブについて

このページには、過去に書かれたブログ記事のうちWireless Lanカテゴリに属しているものが含まれています。

前のカテゴリはVC++2008です。

次のカテゴリはその他大勢です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

Wireless Lan: 2017年10月: 月別アーカイブ

ウェブページ

お気に入りリンク

NOP法人 アジアチャイルドサポート 最も大切なボランティアは、自分自身が一生懸命に生きること