第4回 XP SP2環境下での安全な無線LAN環境構築


他力本願堂本舗
杉谷智宏
2005/4/15



 Windows XPになってから、無線LANへの親和性が高くなっている。また、ADSLのダイヤルアップルータなど、インターネットプロパイダと接続するために利用する機器にも無線アクセスポイントの機能を持つものが多く見られ、家電量販店のインターネット関連機器コーナーなどで気軽に購入できるようになってきた。

 従来、ネットワークは有線で構築されることが多かった。強いていえば携帯電話などによるモバイルアクセスが無線ネットワークとして最初に普及したものかもしれないが、無線LANホットスポット( 無線LANを自由に利用できるようにアクセスポイントを設置した場所)の登場や安価な無線LAN機器の登場によって、LAN環境の無線化もよく見られるものになってきたといえるだろう。

 実際に、無線LANを利用して家庭内のネットワークを構築している人もいるし、企業や学校でもコンピュータをどこからでも使えることを目的に無線LANによるネットワークアクセスを提供している場合がある。プロパイダによっては、「ケーブルの取り回しが楽になりますよ」と無線LANをプッシュしているところもある。

 筆者の知る限りでも複数の企業や学校がそのようなネットワークを構築している。また、筆者自身も自宅では無線LAN環境を構築して、ノートPCを持ち運んで利用している。

 さて、今回はこのように広く利用されるようになってきた無線LANを、Windows XP SP2環境下で安全に使うためのトピックを紹介してみたい。なお、無線LANは3種類の規格が利用されているが、現在最も広く普及しているIEEE 802.11b(11Mbps 2.4GHz帯)での安全なネットワーキングを考えていく。

 第三者に無線LANを利用される危険性

 まずは無線LANが抱える根源的なリスクを見ておこう。無線LANには2通りの使い方がある。1つは、一般的に利用されているアクセスポイントを使う方法だ。もう1つは、現在ほとんど使われていないようだが、パソコン同士を1対1で接続する方法だ。こちらはアクセスポイントを利用しない。

 通常、パソコンを無線で接続する際にはアクセスポイントとルータを利用する。ルータによっては無線のアクセスポイントとしての機能を持っている場合があり、単体でルータとアクセスポイントの機能を兼ねられるものもある。

 さて、このような無線LANの構成では、1つのアクセスポイントを複数のパソコンが共有することになる。これはルータやハブなどにケーブルを何本も挿していることに相当する。実はここで最初の問題があらわになっているのだ。

 無線LANのアクセスポイントは通常のルータやハブと違い、物理的な接続を必要としない。また、設置環境にも左右されるものの、無線LANの電波は半径50〜70メートルの範囲に到達することがある。一戸建て家屋の中心にアクセスポイントを設置するならば電波の有効範囲をすっぽりと囲んでしまえるが、窓際や壁際に設置した場合やマンションなどの場合、隣接する家屋や部屋からも無線の電波をキャッチすることができてしまう。

 これはつまり、「自宅で構築した無線LANに、誰かがアクセスしてしまう可能性がある」ということを示している。

 実際に無線LANのアクセスポイントを探し出すツールも存在し、広く利用されている。ここではそれらのツールを利用することが主眼ではないため、紹介は避けておく。実際にノートPCでそれらのツールを利用してアクセスポイントを探し出し、接続するやからがいないとも限らない。適切にアクセス制御を行っていないアクセスポイントは、誰にでも接続できるのだ。

 脆弱な暗号化

 広く利用されているIEEE 802.11bでは、「WEP」(ウェップ:Wired Equivalent Privacy)という暗号化を行うことができる。暗号化を行っていないと簡単にアクセスポイントに接続できてしまうため、前述の「誰でもアクセスできる」という状況を回避するためにはアクセスポイントとの通信にWEPをかけて認証を兼ねることで対処することになる。

 また、通信を暗号化することで、データを盗聴されないようにできる。これによって、「WEPキーを知っている」者同士だけがあたかも有線で接続されているかのように無線LANを利用できるというものだ。

 しかし、WEPにはすでにいくつかの脆弱性が見つかっている。例えば、数時間〜数日程度の傍受を行った結果を分析してWEPキーを復号してしまうというツールも存在する(ある程度の運や通信状況にも左右されるが)。

 そこで、2003年ごろからそれらの問題への対策を行った新規格「WPA」(Wi-Fi Protected Access)に対応した無線LAN機器も出回っている。とはいえ、WPAは少し古い無線LAN機器では対応できないので、すべての機器を新しいものに買い替えなくてはならない。2004年前半ごろまでWPA未対応の型落ち機種が投げ売りされ安価に出回っていたこともあり、WPAはまだ十分に普及したとはいえない。

 Windows XPの無線クライアント機能

 前述の2つは無線アクセスポイント側の問題だ。さらにクライアントにも問題がある。Windows XPでは、無線LANに対応したコンピュータを利用している場合、自動的にアクセスポイントを探して標準的な設定での接続を試みる。また、無線LANのアクセスポイントごとの設定をしていた場合、それらの設定が利用できるかどうかを順次試していく。

 その結果、接続が可能であった場合には、無線LANでの通信が行われることになる。無線LANでの通信が行われると、Windowsファイル共有の通信などが始まり、クライアントコンピュータの情報が無線LANに流れることになる。さらに、共有フォルダの設定が行われていたり、管理者アカウントが脆弱であった場合などには、不正アクセスの原因となってしまう可能性もゼロではない。

 また、ホットスポットに隣接して、わざとよく似たネットワーク名のアクセスポイントを設置するといった方法でユーザーの誤接続を誘い、メールやFTPなどを利用する際に送受信されるアカウント情報などを盗聴するといった攻撃方法も存在する。

 問題への対策と安全なネットワーク環境の構築

 大きく3つの問題について見てきたが、無線LANにはそのほかの問題がないわけではない。一般的なルータやハブと違って、施設の外からネットワークの存在が検出できる可能性があることや、ESSIDというネットワークの識別名から部署を推測する、といったことも可能となる場合がある。これらは深刻さはあまりないが、ネットワークの情報が漏えいするといった面で見ればあまり望ましい状態ではない。

 これらの問題や攻撃に対処するための方策を、次ページから見てみよう。

第3回」へ
1/3


Index
XP SP2環境下での安全な無線LAN環境構築
Page1
第三者に無線LANを利用される危険性
脆弱な暗号化
Windows XPの無線クライアント機能
問題への対策と安全なネットワーク環境の構築
  Page2
無線LANアクセスポイントの設定
WEPによる暗号化
厳密なアクセス制限
  Page3
クライアント側の対策
Windowsファイアウォールの利用

追加の暗号化


関連記事
クライアントセキュリティチャンネル
管理者のためのウイルス対策の基礎
ネットワーク管理者のためのWindows XP SP2レビュー(後編)(Windows Server Insider)
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間