Wi-Fi & 無線LANのセキュリティを解説

Wi-Fi & 無線LANのセキュリティ

Wi-Fi & 無線LANのセキュリティの解説

Wi-Fi & 無線LANのセキュリティには3つの方法があります。
・暗号化によるセキュリティ
・MACアドレスフィルタリング
・ESS-IDステルスです。

Wi-Fi & 無線LANのセキュリティでは「暗号化」のみ、「暗号化」 + 「MACアドレスフィルタリング」、「暗号化」 + 「ESS-IDステルス」などの組合せ設定が可能です。

 

無線LANのセキュリティ

Wi-Fi & 無線LANは親機と子機間でデータの送受信をします。無防備であればデータの盗聴のリスクがあります。そこで盗聴されないようにブロックをする必要があります。それには3つ(暗号化によるセキュリティ、MACアドレスフィルタリング、ESS-IDステルス)の方法があります。 新型の無線LANルータ(親機)はハイパワー型(遠くまで電波が届くタイプ)が中心です。遠くまで電波が届くと便利ですが、反面リスクが増大します。

そのリスクですが、考えられるリスクの例を2つご紹介します。 (あくまでも可能性です)
(1) ハイパワー型でのリスク
学校の運動場をイメージしてください。その直ぐそばに自宅があると仮定します。新型の無線LANルータはハイパワー型(遠くまで電波が届くタイプ)が多いですから、電波が遠くまで届きます。前面が運動場であれば障害物・遮蔽物がありません。無線LANルータの性能によりますが、約300m※先 (下記図1-A)の子機でSSID (ネットワーク名)の確認ができます。言ってみれば送受信が可能です。もしセキュリティが甘いとネットワークに入ることができます。リスクが大です。
ATERM WR9500NAir Station D1100H (実効速度) の製品カタログより。

 

(2) 子機を移動することでのリスク
移動手段として車・バイク・自転車・徒歩 (下記図1-B)で子機を持参する方法です。無線LANルータ(親機)のSSID (ネットワーク名)を子機で確認することができます。このケースでも無線LANルータの性能によりますが約300m先の子機でSSID (ネットワーク名)の確認ができます。セキュリティが甘いとネットワークに入ることができます。この場合もリスクが大です。

 

2つのケースを挙げました。セキュリティが甘いとネットワークに侵入されるリスクがあることがご理解いただけたと思います。ではどのような被害が予想できるかと言えば、いくつか考えられます。
・インターネットを無料で利用。
・共有ファイルとかデータの盗聴。
・加入しているサービスのアカウント・パスワードの盗聴。
・個人情報の盗聴。
・なりすまし。
・メールの盗聴など。

 

以上のようなリスクを回避するためには、「強固な無線LANのセキュリティ」は重要なことです。

 

今、無線LANのセキュリティ方法は3つあるとお話しました。それらについて解説をします。
暗号化によるセキュリティ

MACアドレスフィルタリング

ESS-IDステルス

 

【図1】

 

暗号化によるセキュリティ

暗号化には3つの規格が用意されています。それはWEP、WPA、WPA2の3つです。
当然のことながらWPA2 が最も強固で安全です。次に強固なのがWPAです。親機と子機に強固なセキュリティが搭載されている時は使用してください。WEPはフリーソフトで解読が可能となっています。

余談ですがお聞きください。
ネット上で「無線LANの暗号化」について調べました。記事数も相当数ありました。調べた結果スッキリしないことが分かりました。
・「無線LANの暗号化」の系統的な記事が見当たらない。(無いのかも知れない)
・用語が乱立している。同じ機能で団体により用語が異なっていて分かりづらい。
・従って非常に分かりづらい。(どれが正しいのか、正しくないのか)

所感:ストレスが溜まった。スッキリしない。

 

無線LANの機器ですが「NEC製のATERM」、「BUFFALO製のAir Station」を使用している方が沢山います。ATERMの場合もそうですが、Air Stationの場合も無線接続ツールが提供されています。この無線接続ツールを使用すると親機と子機の一番強固なセキュリティが選択され、自動で設定されます。それはNEC製の場合は「らくらく無線スタート」、BUFFALO製では「AOSS」、「AOSS 2」です。それにWi-Fi Allianceの「WPS」もそうです。利用者にとってはカンタンで確実です。なので安心です。もちろん他のメーカーも同様な機能を搭載しています。

 

調べた範囲(ストレスが溜まった)で以下の様なことが分かりました。又、分からなかったこともあります。メモしておきます。興味がある方はご覧ください。

暗号化方式

用 語 内 容
WEP 「Wired Equivalent Privacy」と言います。
IEEEがWEPを策定しました。それは秘密鍵暗号化方式/RC4※を採用しています。IEEE 802.11bで採用・利用されています。強度は64/128ビットがありますが、フリーソフトで暗号化が解読されています。強固な暗号化方式とはいえません。
RC4※とは
暗号化でよく用いられる方法として2つあります。それはストリーム暗号とブロック暗号です。
・平文をビット単位あるいはバイト単位などで暗号化する方法がストリーム暗号といいます。
・平文を64ビットや128ビットなどの固定長のブロックに分割して暗号化する方法をブロック暗号といいます。
WPA 「Wi-Fi Protected Access」と言います。
「TKIP」はIEEE 802.11i グループとWi-Fi Allianceが設計をしました。2002年10月にWi-Fi Allianceは「TKIP」を「WPA」として承認しました。従って、「TKIP」と「WPA」は同義語もしくは非常に近い規格と言えます。

Wired Equivalent Privacy (WEP) の脆弱性が指摘されたため、その対策として策定された。IEEE 802.11i の主要部分を実装したプロトコルであり、802.11i が完成するまでの間、WEP の代替として一時的に使うために策定された経緯があります。

WEPからの主要な3つの改善点を取り入れた Temporal Key Integrity Protocol (TKIP) です。
では「TKIP」ですが、WEPよりの改善点は
(1)秘密鍵と初期ベクトルを関数で混合してRC4の初期化を行う
(2)シーケンスカウンターを実装
(3)MICHAELという64ビット完全性チェックが実装されている。
WPA2 Wi-Fi Protected Access(WPA、WPA2)とは
意味は2つあります。
(1)Wi-Fi Alliance の監督下で行われている認証プログラムであり、Wi-Fi Alliance が策定したセキュリティプロトコルにそのネットワーク機器が準拠していることを示すものです。
(2)もうひとつが、そのセキュリティプロトコルそのものを言う。
WPAはWEPの脆弱性対策として策定された。一時的な意味合いの強い対策です。IEEE 802.11i の主要部分を実装したプロトコルであり、802.11i が完成するまでの間の代替として一時的に使うために策定されたセキュリティプロトコルです。
TKIP 「Temporal Key Integrity Protocol」 と言います。
WPAを参照してください。
AES 「 Advanced Encryption Standard」と言います。
1977年に制定された暗号規格「DES」の安全性に懸念があり新たに暗号規格「AES」をNISTが策定しました。 これは共通鍵ブロック暗号を公募するという方法をとりました。その中からRijndael (ラインダール)が2000年10月に採用されました。これが「AES」です。

鍵をブロックとして分割して暗号化する方式を採っており、鍵とブロックの長さはそれぞれ128ビット、192ビット、256ビットの中から指定可能で、暗号の強度と速度の双方に優れた暗号化アルゴリズムとして評価されています。現在では最も強固な暗号化方式です。

 

暗号化キーの認証方式

用 語 内 容
PSK 「Pre-Shared Key」と言います。
PSKとは事前共有鍵のことです。詳しくはWi-Fi Protected Access(WPA、WPA2)を参照してください。
暗号化キーを認証する方式には小規模なネットワークに最適な方法と大規模なネットワークに最適な方法が用意されています。 WPAやWPA2を小規模なネットワークで使用する方法がPSKです。認証サーバーを経由しないでネットワーク機器同士で相互の認証をする方法です。
アクセスポイントに設定した暗号化キーを複数のクライアントで共有して利用する方法です。暗号化キーを登録するだけなので管理がカンタンで便利ですが、暗号化キーが漏洩するとセキュリティホールとなるため、暗号化キーの変更を頻繁に行わなければなりません。
EAP 「Extensible Authentication Protocol」と言います。
暗号化キーを認証する方式には小規模なネットワークに最適な方法と大規模なネットワークに最適な方法が用意されています。 EAPは大規模なネットワーク向です。ユーザー名、パスワード等でユーザー認証を行い、ユーザー単位に暗号化キーを配布します。これにより盗聴やなりすましなどの不正アクセスには万全です。
実際に利用する認証方式は多くの種類があります。EAP-MD5/EAP-TLS/EAP-TTLS/EAP-PEAPなどです。

 

暗号化の時系列
時間を軸として見てみました。

日付 内 容
1997年 IEEE.802委員会によりWEPが策定された。
2001年 WEPが普通に手に入るソフトウェアを使って数分でWEPコネクションを解読可能となった。
2003年 WPAをIEEE.802委員会とWi-Fi Allianceが認定した。
2004年 WPA2をWi-Fi Allianceが認定した。
* *
1976年 DESを国立標準局 (NBS) がアメリカ合衆国の公式連邦情報処理標準 (FIPS) として採用し、その後国際的に広く使われた。
2001年 DESの安全性が低下したため、1997年9月にNIST(アメリカ国立標準技術研究所)が後継の暗号標準AES (Advanced Encryption Standard) とすべく共通鍵ブロック暗号を公募した。その結果Rijndael (ラインダール)が2000年10月に採用された。2001年に策定されました。

 

団体の名称

団体名称 内 容
IEEE 「The Institute of Electrical and Electronics Engineers, Inc.」と言います。
米国に本部を持つ電気・電子技術の学会です。その中にIEEE 802があります。それを802委員会と呼称します。
IEEE 802標準が扱う範囲は、可変サイズのパケットを伝送するネットワークに限定されています。
Wi-Fi Alliance Wi-Fiとは「Wireless Fidelity」と言います。
米国に本拠を置く業界団体をWi-Fi Alliance(ワイファイ アライアンス)と呼称します。国際標準規格であるIEEE 802.11規格を使用したデバイス間の相互接続を認めるのが業務です。
製品が同じブランドを表示する他の製品と組み合わせて利用できるということをユーザーが確認できるようにするため、Wi-Fi AllianceはWi-Fi CERTIFIEDブランドを作りました。認定された機器には、Wi-Fi Allianceの登録商標であるWi-Fiロゴの使用が許可されます。
「Wi-Fi」と「無線LAN」の違い。
「無線LAN」と「Wi-Fi」との違いはWi-Fi認証を受けているか、受けていないかの違いです。認証されていないものは機能が同じでもWi-Fiとは呼べません。
NIST 「National Institute of Standards and Technology」と言います。
アメリカ合衆国の国立標準技術研究所です。NIST国立の計量標準研究所であり、アメリカ合衆国商務省配下の技術部門です。
NBS 国立標準技術研究所 (NIST) は1901年から1988年までは国立標準局 (National Bureau of Standards, NBS) と称していました。

 

 

セキュリティについて具体的に見てみましょう。
無線LANは親機と子機間でデータの送受信をします。従って親機と子機のセキュリティを合わせる必要があります。
2つのモデルをご紹介します。NEC製 WR9500N と BUFFALO製 WZR-D1100Hです。2つとも新しい無線LANルータです。

(1) ATERM WR9500Nのカタログに記載されている無線LANのセキュリティは以下の通りです。
ATERM WR9500Nのカタログ (仕様)はこちらです。

親機のセキュリティ
SSID、MAC アドレスフィルタリング、ネットワーク分離機能、
WEP(152/128/64bit)、WPA-PSK(TKIP、AES)、
WPA2-PSK(TKIP、AES)
※IEEE802.11nではWPA-PSK(AES)、WPA2-PSK(AES)のみの対応

子機のセキュリティ
SSID、WEP(128/64bit)、WPA-PSK(TKIP/AES)、WPA2-PSK(TKIP/AES)

ATERM WR9500N-HP/U (子機:WL450NU-AG)

 

(2) WZR-D1100Hのカタログに記載されている無線LANのセキュリティは以下の通りです。
WZR-D1100Hのカタログ (仕様)はこちらです。

親機のセキュリティ
WPA2-PSK(AES/TKIP)、WPA-PSK(AES/TKIP)、WPA/WPA2 mixed PSK、WEP(128/64bit)、Any接続拒否、プライバシーセパレーター、MACアクセス制限(最大登録許可台数:64台)

子機のセキュリティ
WEB上で確認できませんでした。

Air Station WZR-D1100H/U(子機:WI-U2-400D)

 

 

無線LANでは親機と子機間でデータの送受信をします。どうしても親機に眼が向きます。子機に眼が届かなくなることがよくあります。

 


 

このページのTOPへ

 

MACアドレスフィルタリング

MACアドレス(Media Access Control address)とはネットワーク上で、ノードを識別するために設定されているLANカードなどのネットワーク機器のハードウェアに一意に割り当てられる物理アドレスです。アドレスが一意なのでそれをセキュリティに使用する考え方です。

無線LANルータなどが備えるセキュリティ機能の一つで、特定のMACアドレスからしか接続できないようにする機能です。
無線LANのネットワークは電波の届く範囲であれば物理的にはどこからでも接続できます。正規の利用者以外は利用できないようにしなければなりません。 MACアドレスフィルタリングはそのためのアクセス制限方式の一つで、端末ごとに固有のMACアドレスをルータなどに登録することで、部外者の人が外部から接続できないようにする機能です。

 

MACアドレスのしくみ
MACアドレスの表現には、04-A3-43-5F-43-23 や 32:61:3C:4E:B6:05 といったオクテットで区切り16進数表現を用いています。("04","5F"や"B6"が、それぞれオクテット)
このMACアドレスのうち、
最初の24ビット04-A3-43がベンダーID部、
次の8ビット5Fが機種ID、
最後の16ビット43-23がシリアルIDとなっています。
上位32ビットでネットワーク機器の機種名まで特定可能です。

 

MACアドレスフィルタリングだけのセキュリティではリスクがあります。それはフォーマット(型)が統一されているので、総当りで検索すれば解読が可能です。セキュリティは強固ではありません。暗号化と組み合わせて使用するのが望ましいです。

オクテット:8ビットのこと

 

 

【MACアドレスフィルタリング】ATERMの場合
設定方法は「クイック設定Web」で設定します
(手順)
(1)「クイック設定Web」を起動
(2)「無線LAN設定」-「MACアドレスフィルタリング」で設定する
(3)「無線LAN設定」-「無線LAN詳細設定(2.4GHz)」および「無線LAN詳細設定(5GHz)」を選択し、「無線LAN端末(子機)の接続制限」-「MACアドレスフィルタリング機能」で設定する

 

 

このページのTOPへ

ESS-IDステルス

親機自身のESS-IDを周囲に知らせるビーコン信号を停止することです。

無線LANのアクセスポイント(親機)には、IEEE 802.11で定められた機能として、ネットワークの識別子であるESS-IDを一定時間ごとに周囲に発信する「ビーコン信号の発進」機能があります。接続したい機器が容易にネットワークを探せるように用意された機能です。ノートPC(子機)でも容易にネットワークを発見して接続を試みることができてしまうため、セキュリティ上の弱点となります。

ESS-IDステルスを使用すればビーコン信号の発進を止めることができ、ネットワークの存在を周囲にカンタンに検知されないようにすることができます。正規のユーザはそのネットワークのESS-IDを無線LAN以外の手段で入手し、コンピュータに設定する必要があります。ただし、そのネットワークのパケット自体は空中を飛び交っているため、根本的なセキュリティ対策とはなりません。暗号化と組み合わせて使用するのが望ましいです。

 

【ESS-IDステルス】ATERMの場合
設定方法は「クイック設定Web」で設定します
(手順)
[無線LAN親機側を設定する]
(1)「クイック設定Web」を起動
(2)「無線LAN設定」-「無線LAN詳細設定(2.4GHz)」および「無線LAN詳細設定(5GHz)」を選択し、「無線LAN端末(子機)の接続制限」で設定する
(3)[ESS-IDステルス機能(SSIDの隠蔽)]-[使用する]にチェックする
(4)[設定]をクリックする
(5)[保存]をクリックする

このページのTOPへ

無線LANセキュリティの関連情報

無線LANセキュリティの関連情報を紹介しています。

無線LANセキュリティの教科書2013
内容紹介
ケーブル不要でネットワークに接続できる「無線LAN」。PCをはじめ、携帯電話、ゲーム機器、テレビなど様々な製品が利用しています。 無線LANは「無線LAN AP(アクセスポイント)」と「無線LANアダプター」の二者間で通信が行われます。この無線LAN APは、第三者に勝手に繋がれないようにセキュリティが設定されています。しかし、この設定をきちんとしておかないと、第三者に勝手に繋がれてしまう危険性があります。特にWEPというセキュリティは、わずか数分で解読されてしまいます。

無線LAN APのセキュリティ技術が破られてしまうと、第三者が勝手にAPを利用することができます。その結果、ネットワークに流れる情報を盗聴されたり、他人に成り済まして犯罪行為(掲示板での犯罪予告やネット詐欺)を行ったり、またスパムやウイルスの発信元にされる可能性があります。 本書では、実際に無線LAN APを破るテクニックを具体的に紹介し、敵がどのような手口を使って侵入するかを学ぶことで、安全な無線LAN通信の運用を目指します。
付録DVDは2枚ついており、1つは攻撃用に特化されたLive DVD「BackTrack 5」です。このDVD-ROMをPCのドライブから起動するだけで、無線LAN攻撃ツールがすぐに使うことができます。2つ目は無線LANツールの操作手順を動画で紹介しています。文字ではなかなかイメージ付きにくい箇所も、動画を見れば理解力が深まります。
できるWindows 8
内容紹介
これまでのWindowsから大きく進化したWindows 8の新機能はもちろん、パソコンの基本操作やネットの楽しみ方も紙面の通りに操作していくだけで難なく身に付きます。
レッスンの構成や手順の流れに工夫を凝らし、今回Windows 8で初めて登場した「スタート画面」の使い方や、アプリの設定・操作方法をスムーズに覚えられるように構成しました。
本書購入者を対象とした「無料の電話サポート」サービスもあるので、もしわからないことがあっても電話で問い合わせられます。
Windows8 スーパーマニュアル
内容紹介
フルモデルチェンジで進化したWindows8を絶対使いこなす!
初めてでも迷わない!
便利で速効検索できるTips INDEXを採用。
初心者から上級者まで、すべての人にわかりやすい詳細な図解。
やってみたい便利ワザ・マル秘ワザ・時短ワザを大量掲載。この1冊でWindows8のすべてが瞬時に理解できる。

最後までご覧いただきありがとうございました。