2015/7/8

セキュリティに関する事件が後を絶ちませんが、最近も二つの注目する事件が報道されました。一つはフィッシング詐欺などで約1,600万円をだまし取った容疑者が再逮捕された事件、もう一つは、出版社ホームページを改ざんした容疑で17歳の少年が逮捕された事件です。この事件に共通しているのが、容疑者は他者の無線LANを乗っ取り、そこを経由して犯罪行為に及んだことです。
無線LANについては利便性が高く、設置も簡単なことから、オフィスや家庭で利用が増えていますが、一方でセキュリティ上の対策が甘いと、犯罪者にとって不正利用しやすいツールになるという懸念もあります。
以前、「公衆無線LANのセキュリティ」と題して、公衆無線LANを利用する際の注意点を取り纏めましたが、今回は企業や家庭、あるいは店舗サービスとして無線LANのアクセスポイントを設置する際の注意点について確認します。

2つのセキュリティ事件の概要

まず、冒頭で紹介したセキュリティ事件について、簡単に概要を確認します。

事件1:フィッシング詐欺などで約1,600万円をだまし取った容疑者が再逮捕
警視庁サイバー犯罪対策課と愛媛県警は、他人の無線LANを犯罪に利用したとして、松山市の男を電波法違反で再逮捕しました。逮捕容疑は、電波法が定める上限の9倍を超えるWi-Fi機器を使って、自宅近くの他者の無線LANを勝手に利用したことです。この容疑者は、フィッシング詐欺などで約1,600万円をだまし取ったとして逮捕されていました。その際に容疑者が身元を隠すため、他者のWi-Fiを経由し、フィッシング詐欺やウィルスを添付したメールの送信や、ネットバンキングでの不正送金を行っていました。この事件は、他者の無線LANを「ただ乗り」したことで摘発された初の事例ということで注目されました。

事件2:出版社ホームページを改ざんした容疑で17歳の少年が逮捕された事件
警視庁サイバー犯罪対策課は、不正アクセス禁止法違反などの疑いで神奈川県に住む17歳の無職少年を逮捕しました。容疑者は匿名化通信ソフトを使って自宅のパソコンから他者の無線LANを経由し、都内出版社のサーバーに不正に侵入して、同社のホームページを改ざんしたとしています。この事件はその後少年が「ランサムウェア」(パソコンをロックして金銭を要求する「身代金型ウィルス」)を作成していたということで、注目されました。

無線LANを不正利用されるリスク

以上、最近の2件の報道により、無線LANに対する不正アクセスの事例を確認しましたが、このように他者の無線LANを「ただ乗り」して犯罪を行うケースは過去にも多数発生しています。企業や家庭に設置した無線LANルータなどのアクセスポイントに不正にアクセスされた場合のリスクとして、以下が考えられます。

  • 無線LANでの通信内容が盗み見される
  • 迷惑メール送信、不正アクセス、違法ダウンロード、等の不正行為の踏み台に使用される
  • 踏み台として使用されることで、犯罪者として疑われる
  • 社内や家庭内の無線LAN環境を利用している端末のデータが窃取される
  • 社内や家庭内の機器に対して不正に遠隔操作される

有線LANであれば、LANケーブルに接続されなければいいのですが、無線LANの場合、アクセスポイントを中心に数メートル~10メートルくらいまでの範囲であれば、壁や建物を超えても電波が届くので、その範囲にいれば誰でもアクセス可能です。意外と見落とされがちなのが上下の範囲です。また、無線LANに不正接アクセスされていても、その行為に気付くことは難しいです。
無線LANにおける電波の伝搬範囲

無線LANに不正アクセスされないための対策

それでは、企業や家庭で無線LAN機器を設置する場合の注意点について、以下の通りです。

1.強固な暗号化方式の設定
無線LANには暗号化通信の設定をすることが必要です。暗号化の方法は主にWEP(Wired Equivalent Privacy)、WPA(Wi-Fi Protected Access)、WPA2とありますが、WEPは様々な脆弱性が明らかになっており、容易に暗号が解読されるおそれがあるので、セキュリティ対策としての有効性はないと考えてもいいくらいです。WPA、またはWPA2による暗号化の設定を行うべきです。
また、端末やアクセスポイントを認証する方式として、PSK(Pre-Shared Key)認証とIEEE 802.1X認証の2つの規格がありますが、PSK認証の方がより強固だとされています。よって、無線LAN機器での暗号化設定はWPA/WPA2-PSKとすべきです。

2.無線LAN利用時のパスフレーズの設定
上記でPSKを選択した場合、暗号鍵を作成するためのパスフレーズを設定する必要があります。無線LANに最初にアクセスする際にパスフレーズを要求されますが、そのパスフレーズは文字数を多くし、推測されにくい複雑な内容で設定すべきです。一度アクセスしたらその後は自動アクセスする様設定するのであれば、パスフレーズを覚える必要はないため、可能な限り複雑な内容にしても構いません。家庭では難しいかもしれませんが、企業であれば複雑度に応じてパスフレーズの定期変更を行うべきです。また、機器購入時の初期値はサポートサイトやマニュアルで公開されている場合もあるので、必ず変更してください。

3.無線LANで接続している端末同士の通信を遮断する設定
同じアクセスポイントに接続する端末から無断でアクセスされることを防止するため、「ネットワーク分離機能」や「プライバシーセパレータ機能」と呼ばれる設定(機器によって呼び方は異なりますが、ほぼ同一の機能です)があれば、設定するようにすべきです。

4.管理画面のパスワード変更
PCやサーバー機と同様、無線LAN機器の設定を行う管理画面にログインするための認証情報は初期設定から変更するとともに、パスワード長、複雑性(英数字の混在)、定期変更、等の様々なパスワードルールを適用すべきです。

5.SSID(Service Set Identifier)の名称変更
無線LAN機器にはデフォルトでSSIDが設定されていますが、メーカー名や機種名の情報を含む名称になっている場合があります。該当する機器にセキュリティ上の問題が発覚した場合、攻撃されて乗っ取られる危険性があります。余計な情報を第三者に与えないため、SSIDの名称を変更するべきです。

6.電波の伝搬範囲を利用状況に合わせて制限
上記で提示した通り、無線LANの電波は壁や天井などを超えて届くことから、電波の届く範囲を制御することで、外部からのアクセスを低減させることも可能です。例えば、窓際等の利用領域の周辺部にアクセスポイントを設置しない、必要以上に遠距離に電波が届かない様電波出力を調整する、といった対策が考えられます。
企業で重要な情報を扱うような場所であれば、電波遮蔽シート等を使用して外部に電波を漏らさないようにすることも可能です。

7.アクセスログの保管
無線LANサービスにアクセスした端末の情報や、エラー情報等のアクセスログを一定期間保管すべきです。できれば定期的に内容を確認、分析して不正アクセスの有無等を確認すべきです。リソース等の問題で対応が難しい場合は、最低限一定期間のログ等を保管することで、後日悪意のある利用が明らかになった場合、その時点の状況を確認できるように、あるいは情報提供できるようにすることが可能となります。

最後に

無線LANの利用は、ビジネスにおいてもプライベートにおいても今後利用する局面が増加すると考えられます。これに伴い、悪意のある盗聴や攻撃も増加することが予想されます。自分自身や会社の重要な情報を盗まれないためにも、また、犯罪行為に加担することが無いように、最低限の対策を実施することが重要です。乗っ取りに手間がかかる様であれば、侵入をあきらめて、より侵入しやすい無線LANを求めるものです。また、企業内研修や教育の中で、十分に周知させることも必要だと思います。

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。
デルタエッジコンサルタントでは、無線LANに限らず情報セキュリティ全般にわたって現状を検証し、改善提案を行うサービスを提供しております。興味や関心がございましたら、ぜひご連絡ください。
お問い合わせ