『Wireless LANのセキュリティ』

はじめに

Wireless LANに限らず、有線のLANでもデータを関係のない第三者に見られる可能性があります。ただしこの場合はその第三者もそのネットワークに接続している必要があるので比較的安心といえます。

しかし、WirelessLANはデータを無線で通信しているワケですからまわり中にデータを放出しているワケです。当然近くにいる全く関係のない第三者でも簡単に傍受可能となり、セキュリティもひったくれもなくなってしまいます。この為WirelessLANの場合は他のネットワークよりもセキュリティに気をつけなければならないのです。

Wireless LANのセキュリティの方法

Wireless LANのセキュリティ方法はいろいろ考えられます。一つ一つには利点と欠点があるのでそれらを併用することで高いセキュリティを実現することができるのです。

通信内容を最初から暗号化しておく

Wireless LANに限らずネットワーク全般のセキュリティ方法として通信内容を暗号化するという方法がよく用いられます。例えばネットワーク経由でコンピュータを遠隔操作する時に良く使われるSSH=SecuritySHellやその後継のSSH2、インターネットでセキュリティを向上させるときに使われるSSL=Secure Socket Layerなどがあります。

通信する際に暗号化する

Wireless LANでは無線で飛ばす間に傍受されるなどの危険性があるので、この無線で飛ばすデータを暗号化することで傍受されても情報が読まれないようにする方法がよく用いられます。

一般的なのはWEP=Wired Equivalent Privacyと呼ばれる方法です。WEPはRC4方式という暗号化技術を使ったデータの暗号化方法で、暗号化用のキーとなる文字列ををユーザーが任意で定め(以下ユーザーキーと呼ぶことにする)クライアントとアクセスポイントにそれを設定して暗号通信をするものです。

ただし、それだけでは毎回まったく同じ方法で暗号化されるので解析される可能性が高くなってしまいます。そこで送信側でランダムに作られるIV=InitializationVectorとよばれる暗号化キー(以下IVキーと呼ぶことにする)を加えることで解析しにくくしています。

送信側はIVキーをランダムに生成してユーザーキーと合わせて一つの暗号化キーとしてデータを暗号化します。そして暗号化されたデータとIVキー(暗号化しない)をパケット(一まとまめのデータ)として送り、受信した方はパケットに添付されたIVキーと設定されているユーザーキーを使ってそのパケットの暗号化に使った暗号化キーを作成して暗号化されたデータを復元します。

WEPのユーザーキーには二種類あって40bit(16進法で5文字)版と104bit(16進法で13文字)版があります。暗号化キーはパスワードみたいなものなので長いほど破られにくいので104bitの方がお勧めです。それに24bitのIVが付加されて送受信されます。よって暗号化キーの合計は64bitと128bitとなります。WEP関連の表記に統一性がないようでごっちゃに使われていますが40bitと64bit、104bitと128bitは同じものです。

しかし、WEPだけでは暗号化キーを全部の組み合わせを試すことで解読される可能性がでてきます。だから文字列が長い104bitの方がセキュリティ上有利なのです。

また、IVで毎回ランダムで暗号化方法が変えられているとはいえIV自身が24bitなのでしばらく通信していれば必ず同じIVでの通信がでてきます。IV自身は暗号化されていないのでしばらく傍受すれば同じIVをつかった通信を抽出することが可能となり、同じIVを使っての暗号化はまったく同じ暗号化なのでそれらを集めれば暗号化キーを割り出すことが可能になりってしまうのです。ですからWEPで暗号化したからとっても、これだけでは心もとないのが実情なのです。

※このWEPに代わりさらに暗号化が強力なWPA=Wi-Fi Protected Accessという規格が登場していて、今後はこちらが使われるようになるかもしれません。
※文中で使ったユーザーキーとIVキーは話の便宜上勝手につけた名前で一般的ではないと思います。

認証によって接続を制限する

Wireless LANではSSIDと呼ばれる認証方法によって接続できる相手を制限することができます。SSIDとはユーザーが定めたIDを使って同じIDを持ったもの同士のみが接続できるようにするものです。しかし、公共施設など通常IDがわからない場合も考慮してIDの自動検出機能(WindowsXPにも標準装備)がありセキュリティ面ではほとんど意味がなくなってしまっています。

ただし、IDの自動検出に反応しない(ひっかからない)ように設定できるものも多いのでセキュリティを重視するのであればこれを有効にしておくとセッキュリティが向上します。もっとも、この方法だとネットワークには侵入できませんが、通信そのものを傍受することに関しては無防備なので通信の暗号化などの方法の併用が必要です。

設定した相手とのみ通信ができるようにする

ネットワークカード(モジュール)には一つ一つに車のナンバーのようにMACアドレスという固有の文字列が記録されていてそれぞれを識別することが可能です。よってLANに接続する必要がパソコンに搭載されているネットワークカード(モジュール)のMACアドレスを予め登録することによって、登録されていないものを接続できないように設定しておけばネットワークに不正に侵入することは防げます。

ただしこの方法もネットワークへの侵入防止機能だけで通信そのものを傍受することに関しては無防備なので、通信の暗号化などの方法の併用が必要です。

Wireless LANのセキュリティ

結局のところ、どんなにセキュリティを強固にしても完璧ということはありません。でも、これらのセキュリティ上の危険を知った上で少しでもセキュリティ対策を講じているのとそうでないのとでは安全性に大きな差がでるものです。ですから、すこしでもセキュリティについて知っていることは大切なことなのです。