2019.04.05
Wi-Fi通信の暗号化技術であるWPA2の脆弱性が指摘されています。個人にとって情報を守ることは重要です。そして企業にとって情報は、営業にかかわるものであったり戦略の要であったりする機密なものです。その重要なデータや通信内容がWi-Fiを介したがために外部に漏れてしまう状況は避けなくてはならないでしょう。企業でWi-Fiを使用している場合には、なるべく早く適切な対策が必要と言えます。ここでは、WPA2の脆弱性に対する対策や、回避する方法などをわかりやすく紹介します。
Wi-Fi通信が広く普及され、さまざまな場所でより自由に無線LANでインターネットが使える社会になりました。スマートフォンはもちろんのこと、タブレットさえ持てばオフィスを離れても仕事をする環境が手に入ります。また、オフィスでWi-Fi通信の導入をしていれば、ケーブル接続を気にすることなく、どこでも業務を行うことができます。ただし便利な反面、企業で設置する際にはセキュリティ上注意すべき点があるので紹介します。
企業でWi-Fi機器を設定する際には、セキュリティ上のリスクに配慮して事前に手を打たなくてはなりません。まず、無線LAN方式のひとつである「WEP」方式はセキュリティ上のリスクが高いため、暗号方式についてはWPA2-PSK(AES)の導入を検討すると良いです。無線LANルーターに不審な履歴がないかアクセスログは適宜確認しましょう。あとはファームウェア(制御用のプログラム)を最新バージョンに更新します。また業務上、機密性の高い情報を扱う場合には、アクセス権の設定や2段階認証の導入などを検討する必要があります。
オフィスでWi-Fi通信を利用する際には公衆の無線LANではないので、使用者は社員や会社に関係のある人物に限られます。そのため、通信上のセキュリティリスクに対して個人が必要以上に不安がることはないものの、社内のWi-Fiだからといって気を緩めて使い方がずさんになれば、ネットワークそのものが危険にさらされることになります。企業内でネットワークのセキュリティを維持するためには、使う側の意識も重要なのです。そこで、次のような点に注意する必要があります。
第三者からの不正アクセスを避けるために、定期的にパスワードを変更することや、そのパスワードが決して他人に知られないように管理することは基本です。手元の付箋やメモ書きなどにパスワードを書き留めておくことはやめましょう。また、会社内でのみ使用可能な端末を自宅など外部へ、安易に持ち出さないことを徹底しなくてはなりません。
「WPA2」とは無線通信のセキュリティを守る規格のことで、これまでのプログラムの改良版として世に登場しました。セキュリティの高いWi-Fi通信を維持するために、導入することが推奨されています。WPA2の概要や仕組みをわかりやすく解説します。
これまでWi-Fiのセキュリティを守る手段としてWEPやWPAというプログラムが使われていました。しかし、どちらも脆弱性が認められたことと、もともとWPAはWEPの脆弱性をもとに対応策として暫定的に作られた規格であったこともあり、2004年に改良版として登場したのが「WPA2」です。WPA2はWPAと共通する部分が多いものの、WPAよりも上級の暗号化方式であるCCMPを採用している点で異なります。CCMPは最も強度の高いセキュリティとして知られています。CCMPの暗号化アルゴリズムに使われているAESは、強力なセキュリティと高速処理が可能という特長があります。
「WAP2」で使用されている暗号化方式CCMPは、先に紹介したように暗号化アルゴリズムにAESを採用しています。AESとはデータ暗号化方式のことを指し、無線LANの暗号化方式として非常にセキュリティが高い強力なものです。AESは従来のアルゴリズムとは全く違う方法を用い、暗号鍵も3種類を組み合わせて使います。AESの暗号化には高度な計算が求められるため、WPA2を導入する際にはAESのレベルに対応できる高い性能を持つ無線LAN機器の設置が必要です。
WPA2で採用されているAES暗号化方式には、2017年頃まで脆弱性が認められませんでした。しかし、2017年11月に脆弱性が公表され、影響が広がっています。WPA2で発見された脆弱性の影響と併せて、その悪用の可能性についても解説します。
2017年、WPA2の脆弱性がベルギーの大学で発見され、研究論文としてまとめられたものが11月に公表されました。脆弱性の内容は、簡単に言うとアクセスポイントとクライアントの両方に偽装する状況を作り出せることです。双方のあいだにうまく入り込み、中継していることを気づかせないまま、クライアントからはアクセスポイントであるかのように見せかけ、アクセスポイントにはまるでクライアントであるかのように動作するという仕組みです。検知されずに中継しながら通信情報を盗み取り、暗号化されたメッセージと対になる暗号化されていない内容を入手することが可能になります。
不正に入手した2種類の通信情報から暗号化のパターンを導き出せれば、ほかの暗号化された内容が常に解読できるようになるのです。このようなWPA2の脆弱性は「KRACKs」と呼ばれ、発表された研究結果によると、脆弱性に対してソフトウェアの修正が必要であるといいます。対応策として「KRACKs」に対処するファームウェアを各ベンダーが準備し、配布されることになりました。
これまで高度な暗号化方式のセキュリティを備えた強力なプログラムとして、安全性が高く評価されていたWPA2の致命的な脆弱性が見つかったことは、情報通信に関わる業界全体に大きな影響を及ぼしました。脆弱性について研究結果の報告を受け、主要ベンダーは脆弱性が発見されてから公表までの2カ月間、脆弱性に対処するためのファームウェアの準備を進めました。発見者の報告のタイミングや流れが的確であったことで、発表までの時間が適切にスケジュール調整されました。そのおかげで、WPA2の脆弱性の情報が公開される前にファームウェアの配布が間に合ったといいます。
また、脆弱性が悪用されることはありませんでした。さらに2019年3月現在では、WPA2の脆弱性が再発見されることを防止するために、情報を公開しています。
「KRACKs」はWi-Fi通信のセキュリティに大きな影響を及ぼしていますが、悪用するためにはハードルが高く、すぐに危険が及ぶことはないとされています。ただし、OS側の脆弱性と組み合わさると、データが解読される可能性があります。リスクを回避するためには、セキュリティパッチ(修正プログラム)をインストールする必要があります。現状ではセキュリティパッチを適切に用いて対処すれば、不正な通信傍受は回避できるといわれています。
Wi-Fi通信のセキュリティを維持するためには、どのような対応が望ましいのでしょうか。WPA2の脆弱性に対処するために必要とされている対応方法を紹介します。
修正プログラムが公開されている場合には、すぐにアップデートを実施する必要があります。対策のためにアップデートすべき対象となるのは、アクセスポイントの親機であるWi-Fiルーターだけではありません。子機側のパソコンやスマホでもアップデートを行いましょう。端末ベンダーごとに修正プログラムの公開時期が異なります。すべての対象端末で修正プログラムをアップデートするまでには、回避策が必要となることを失念しないようにしましょう。
修正プログラムのアップデートは通信に関わるすべての端末で実施しなければなりません。修正プログラムが公開されるタイミングがずれている場合、脆弱性によるリスクを回避するために対策が必要です。「KRACKs」への対応の仕方を説明します。
「KRACKs」の攻撃を回避する方法のひとつとして、HTTPSを使うことが挙げられます。情報を送信する際にはHTTPではなく、HTTPSで接続されているwebサイトを使うことが望ましです。HTTPSの「S」は安全の意味を持つSECUREからきています。HTTPは通信内容が暗号化されていません。一方、HTTPSでは暗号化されているため、より安全に情報のやりとりができると言えます。HTTPSでは、SSLというプロトコルが使われているので、情報が暗号化される仕組みになっています。
さらに、HTTPSのサーバーを使う所有者はSSLサーバー証明書を取得していることが前提です。HTTPSであれば、webサイトの所有者の正当性が証明されていると考えられます。
情報を送信する際に、VPNを使用することでセキュリティが高くなり、情報の漏洩や改ざんを防止できます。VPNとは「仮想専用線」と訳され、仮想的な専用線をつくり通信内容を暗号化するシステムのことです。もともと第三者からの不正な傍受や改ざんを防ぐための対策として取り入れられてきた昔からの技術ですが、Wi-Fiの安全性を維持するのにも有用であることから改めて注目されています。実際の専用線よりも低コストである点もメリットとされています。安全な通信ルートを確保することは「KRACKs」の攻撃を回避するのに有効です。
有線LANは無線LANに比べて、セキュリティレベルが高い通信手段です。無線LANでは、アクセスポイントにつなげる距離にいる人であれば社外の人物であってもオフィスのネットワークにアクセスできてしまいます。不審な第三者が介入する可能性が高まるのです。有線LANを使用することで、WPA2の脆弱性によるリスクを回避できます。有線LANでは、ネットワークに侵入するためにはLANケーブルをつなぐ必要があり、接続できる機器が限定されるからです。ネットワークに関わる機器を把握できることから管理自体も非常に楽になります。
WPA2の脆弱性に対応するためには、通信機器に修正プログラムをインストールすることが重要です。通信機器メーカーでは、サポートページでの情報の公開や対応に取り組んでいます。参考として、主なメーカーの対応をいくつか紹介します。バッファローでは、対象商品の情報とファームウェアの公開を行っています。I-O DATAでは、脆弱性が影響する可能性のある商品すべてにおいて、ファームウェアを公開しています。NECでは、脆弱性に関する情報の提供と、対象商品のファームウェアの公開を行っています。エレコムでは、脆弱性が影響する商品一覧を公開し、併せてファームウェアを公開しています。ただし、商品の一部は準備中となっています。
データ暗号化方式に最強のAESを使うCCMPを採用し、セキュリティが高いといわれていたWPA2にも脆弱性が見つかり、そのリスクが明らかになりました。この状況を受け、さらにセキュリティが向上したWPA3が登場しました。WPA3とはどのようなものか、特徴と課題を紹介します。
WPA2の脆弱性は、子機がWi-Fiルーターに接続する際にパスワード認証や暗号鍵の設定を行うハンドシェイクの段階で見つかりました。WPA3は楕円曲線暗号という堅牢な暗号理論に基づいた、よりセキュリティの高いハンドシェイクの仕組みを搭載しています。Wi-Fi通信のセキュリティプログラムにおいて、最新で最強といわれているWPA3の新たなハンドシェイクの方法では、ハッカーの辞書攻撃と呼ばれる「思いつくパスワードを次々に試す攻撃」も回避できます。WPA3の企業向け企画では暗号高度がより高く、セキュリティに優れていることが発表されました。
WPA3の強みとして、使い勝手の向上も挙げられます。パスワードなどの個人的な設定において、従来はセキュリティの強度をより高いものにしなくてはいけませんでした。パスワードを設定する際に、端末側からパスワードの強度が弱いといった指摘を表示されることもありました。しかし、WPA3はプログラム自体がセキュリティの高い認証を行ってくれるので、利用者が簡単なパスワードにしても安全性が維持されます。シンプルなパスワードなどにできれば、使用者にとっても入力が簡素化され楽になるでしょう。
WPA3が普及するためには、親機としてWPA3対応の高性能なWi-Fiルーターが必要となります。また、子機側のOS対応も不可欠なため普及までに時間がかかります。WPA3の普及までは、結局WPA2を使わざるを得ない状況があるのです。そのこともあって、WPA2の脆弱性に対する対策が進み、OSやファームウェアのアップデートにより攻撃を防止することが可能になっています。
2017年にWPA2の脆弱性が発表され世界が揺れ動きました。これまで最強のセキュリティを備えたプログラムと呼ばれていたWPA2は、ネットワークを守るセキュリティの信頼度において、もはや絶対的な存在ではなくなったのです。WPA2の脆弱性に対する影響は報告されていないものの、OSやファームウェアのアップデートなど、できるだけ早く対策をとる必要があります。社内に所有する通信機器すべてにセキュリティ対策をとることも重要ですが、自分たちの身は自分たちで守る、企業に属する社員個人がセキュリティリスクへの危機感をしっかりと持つことも肝心でしょう。