オルタナティブ・ブログ > IT大捜査線 THE BLOG >

障害は会議室で起きているんじゃない、サーバルームで起きているんだ!!

無線LANにおける心構え

»

最近自宅や外出先で無線LANのアクセスポイントが多く見つかるので無線LANにおけるセキュリティについてとりあげてみました。無線LAN関連を専門にやっているわけでもないのですが、無線LANの危険性について以前調査したことがあるのでちょっと書いてみました。

無線LANアダプターは標準といってよいくらいノートPCに搭載されておりますね。また電気屋さんなどに行けば無線LAN専用のコーナーが設けられ一般的なものになりつつあると思います。

無線LANを構築する為、アクセスポイントを買って、箱からだし、自宅のネットワークに接続。ほとんどの製品は簡単さを売りにだれでも無線LANが構築できるように工夫されています。

無線LANアダプターの設定画面をみると利用できるアクセスポイントのSSID(Service Set Identifiers)一覧がたくさん表示されることがありますが、セキュリティがないSSIDを選択すると無線LANに簡単に接続できてしまいます。SSIDを表示させないように、ブロードキャストしない設定をすれば多少セキュリティはあがるように見えますが、SSIDがわかってしまえば簡単に接続できてしまいますのであまり意味がないかもしれません。このSSIDを調べるツール(Ne**er、Ki**et)は世の中にたくさんあるのでSSIDを隠すことはセキュリティ対策として不十分ですね。

その他にも有線環境とは異なり、無線LAN上に流れるパケットも暗号化されていなければ非常に危険です。パケットをキャプチャーするツール(Et**al、Ai**rt)で通信データが盗まれ、POPを利用したメール受信のようにアプリケーション上で暗号化されていないパスワードやメールの内容は盗聴される危険性があります。
その対策としてWEPキーで暗号化し接続を制限する方法があります。これは共通鍵で暗号化するので、無線LANアダプターとアクセスポイントに同じ鍵を設定すれば暗号化通信できますが実はこの方法もツール(We**ck)を利用すれば、暗号化の強度にもよりますが2,3時間または1,2日で暗号を破ってしまうことができます。これより強化された暗号化通信であるTKIP、WPSが対応している無線LANアダプターであればこちらを利用したほうが良いでしょう。これは毎回異なるキーを生成して暗号化通信を行うので現在一番望まれる設定のひとつです。
またMACアドレスでアクセスポイントに接続できるPCを制限することもできます。これもMACアドレスを偽装するツール(S**C)があるので完璧ではないですがアクセスポイントに不正にアクセスされる可能性が減りますので対策に含めると良いかもしれません。

アクセスポイントに焦点をあてましたが実はクライアントの無線LANアダプターについても考えなければなりません。
例えばアダプターの設定でPCとPCが簡単に接続できるアドホック通信機能あります。これは認証など必要がなく接続でますので、これを有効にしているPCは簡単に接続され、悪意のある人であればそのPCに脆弱性がないか調べ、脆弱性があればそれをついて、有線からでもPCを操作できるようにバックドアを仕掛ける可能性があります。
無線LANを利用する時、アクセスポイントへの接続のセキュリティ、通信パケットの暗号化はもちろん、各クライアントの接続にも注意しなければなりませんね。

その他に無線LAN環境下におけるDOS攻撃(サービス不能攻撃)も忘れてはいけません。
例えばEAPプロトコルを乱用して認証サーバにDOS攻撃をするツール(Ai**ck)があります。この場合、無線LANクライアントが接続できなくなります。そのほかにもネットワークインジェクション攻撃など無防備なアクセスポイントがあればSpanning TreeやOSPF、RIPなどのブロードキャストトラフィックを発生させ、ネットワークトラフィックを大量に流し込むような攻撃もあります。

最後に公衆で無線LANを利用する時も気をつけたほうがよいです。悪意のあるものによって立てられたアクセスポイントであるかもしれません。アクセスポイントの機能を持つことができるソフトウェア(H**P、Ho**er)がありますので、自分のPCにアクセスポイントをたて接続され易いようにSSIDをブロードキャストしているかもしれません。

周辺に利用できるアクセスポイントがあったと思って利用しようとしたら実はハッカーのわなでPCにバックドアが仕掛けられ踏み台として利用されるかもしれません。

今回ツール名を()のなかで一部だけ表記しましたが、インターネットで調べればすぐに入手できてしまいます。スクリプトキディと呼ばれている人のように、深い知識がなくてもウェブ上にあるツールを利用して悪意のある行為を働かせることができる環境なのです。

私はLAN・セキュリティについては基本的な知識は持っておりますが、ツールを開発できるほど、プロトコルの知識やネットワークプログラミングの技術はありません。しかしインフラを少々経験した程度の知識があれば、スクリプトキディになれるくらいの情報量があるのです。そのことを訴えたいがために()内にツール名の一部をかきました。

このような環境からセキュリティ事件はもう他人事とは思えない時代であると感じていただけましたでしょうか。

Comment(0)