★☆★JNSAメールマガジン 第54号 2015.2.13.☆★☆
【連載リレーコラム】
「小規模無線LANサービスでブロードバンドルーターを利用したときの課題」
(一般財団法人日本データ通信協会 テレコム・アイザック推進会議 企画調整部 部長 佐藤 晴樹)
近年、利用者の利便性から、様々な団体(地方公共団体、宿泊施設、飲食店、鉄道・空港などの交通機関)が無線LANアクセスポイントを設置するなど、無線LANの利用環境が整いつつあります。今後は、個人店舗、民宿等が小規模な無線LANサービスを提供が進むことが予想されます。
一方で、利用者、設置者が無線LANを利用する際の情報セキュリティ上の脅威について正しく認識しないまま、安全でない状態で無線LANを利用している懸念があります。そこで、総務省の「電波の有効利用促進のための安全な無線LANの利用に関する普及啓発事業」の一環として、テレコム・アイザック推進会議では、無線LANアクセスポイント機器の実態調査を実施しました。この調査の結果を紹介いたします。
1. 調査目的無線LANアクセスポイントとして利用されている機器(ルータ等)については、ニーズ用途に合わせて様々なスペックがあります。これらのスペックの中には暗号化方式等情報セキュリティに関するものもあり、アクセスポイントのスペックの差がそのまま情報セキュリティ対策の差として現れことになります。そのため、現状無線LANアクセスポイントとして利用されている機器が備えている機能について調査し、実態を把握するとともに、それらについて一定の尺度をつけて整理することで、公衆無線LANが具備すべき要件について検討する際の基礎データとすることを目的とします。
2. 調査対象個人店舗、民宿等が小規模な無線LANサービスを提供する際に自ら無線LANアクセスポイントを設置する場合に利用することが推測される「無線LAN機能付きブロードバンドルーター」のうち、2014年9月の売れ筋ランキングの上位機種を中心に一部過去に販売された機種で入手できたものも含めて11社29機種について調査しました。
3. 調査項目無線LAN機能付きブロードバンドルーターが持つ「暗号化」、「ネットワーク分離」、「管理画面」機能を対象として、無線LANサービス用途でブロードバンドルーターを使用した特にデフォルト値のまま利用した)場合に問題となりうる項目を中心に以下の調査をしました。
機器がWPA/WPA2をサポートしているかを確認する。
1-b)デフォルトSSIDの暗号化種別デフォルトで設定されているSSIDの暗号化種別を確認する。
(2) ネットワーク分離利用者端末間の通信を遮断し、悪意のあるユーザーからの不正通信を防止 できることを確認する。
2-b)異なるSSID間の分離セキュリティレベル(暗号化種別)が異なるSSID間において、通信を抑止できることを確認する。
2-c)無線〜有線間の分離無線区間と有線区間のセキュリティレベルが異なる場合、必要に応じて当該ネットワーク間の通信を遮断できるかを確認する。
(3) 管理画面管理画面にアクセスできるネットワーク範囲を有線区間・管理用PC等、制限できるかを確認する。
3-b)認証情報の強度管理画面へのログインID/パスワードについてデフォルトからの変更が必須であるかを確認する。
調査した29機種では、2006年以前に発売された4機種を除いてWPA2がサポーされていた。2006年以前に発売された4機種についてもWPAがサポートされていた。
1-b) デフォルトSSIDの暗号化種別デフォルトSSIDの暗号化種別ですが、調査した29種のうち、24機種では複数のSSIDに対応しているため、主たるSSID(以下、プライマリSSID)と主でないSSID(以下、便宜上ゲストSSIDと呼ぶ)に分けて結果を紹介します。
プライマリSSIDですが、29機種すべてがデフォルトでプライマリSSIDによる 無線LANが有効となっていたが、そのうち4機種では、デフォルトの暗号化がなしかWEPであった。なお、これら4機種は2009年以前発売の機種であった。複数のSSIDをサポートしている24機種のうち、デフォルトでゲストSSIDが有効になっている機種が7機種あったが、これらは、全てWEPによる暗号化であった。
また、ゲストSSIDを手動で設定する機種でも設定した時のデフォルトで暗号化がない(オープンな無線LAN)ものが9機種、暗号化がWEPであるものが4機種あった。
プライマリSSIDでプライバシーセパレーターが設定可能な機種は21機種あったが、デフォルトで有効な機種はなかった。なお、プライマリSSIDで本機能が設定できない機種は、2014年に発売された機種の中にもあり、本機能の実装は発売時期にはよらない。
ゲストSSIDが設定可能な24機種において、デフォルトで有効となっているゲストSSIDまたは手動でゲストSSIDを設定したときにプライバシーセパレーターがデフォルトで有効でないものは、14機種あった。
ゲストSSIDが設定可能な24機種のうち、6機種がデフォルトでプライマリSSIDとゲストSSIDとの間での通信可能であった。
2-c)無線〜有線間の分離プライマリSSIDと有線LANとの分離が可能な機種は18機種あったが、デフォルトで有効な機種はなかった。なお、プライマリSSIDとの間で本機能が設定できない機種は、2014年に発売された機種の中にもあり、本機能の実装は発売時期 にはよらない。
ゲストSSIDが設定可能な24機種において、ゲストSSIDと有線LANとの分離は全ての機種で可能であったが、デフォルトで分離が有効でないものが4機種あった。
プライマリSSIDから管理画面へのアクセスは、すべての機種がデフォルトで 可能であり、かつ、15機種では制限することができなかった。
ゲストSSIDが設定可能な24機種において、ゲストSSIDから管理画面へのアク セスがデフォルトで可能なものは7機種あり、うち2機種は制限することがで きなかった。
管理画面へアクセスする際のパスワードの変更が初期設定時に必要な機種は、 機種のみで、他の機種はマニュアル記載のパスワードのままアクセスが可能であった。さらに6機種では、パスワードなしのままアクセスが可能であった。
今回の調査から、ブロードバンドルーターは、無線LANサービスの提供に必要なセキュリティ機能が実装されていない機種があったり、実装されていても設定が必要であったりする機種もあることが明らかとなりました。
このため、ブロードバンドルーターで簡易に無線LANサービスを提供するためには、購入前に無線LANサービスの提供に必要なセキュリティ機能の調査が必要となり、また、購入後も設定が必要になる。しかし、これらの購入前の調査や購入後の適切な設定を漏らさず行うことについては、多くの人で困難が生じることが予想されます。
しかしながら、電波の有効利用促進のためには、個人店舗、民宿等が設置する小規模な無線LANサービスも必要となります。そのためには、困難だから無線LANサービスを提供するなというのではなく、安全な無線LAN提供のために必要な情報を発信していくことが必要となります。
最後に、冒頭にふれた総務省の「電波の有効利用促進のための安全な無線LANの利用に関する普及啓発事業」では、昨年度「Wi-Fi提供者向けセキュリティ対策の手引き」を作成し、ホームページ上(※2)で公開しているので紹介いたします。
※2:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/wi-fi.html
【部会・WG便り】
★JNSA西日本支部主催セミナー「NSF 2015 in Kansai」を開催します。
「ビッグデータ活用に向けて!個人情報保護法改正の背景と論点を探る」
日時: 2015年2月20日(金)13時30分〜17時30分(受付開始13時)
場所: 第二吉本ビルディング 会議室A+B
(大阪市北区梅田2-2-2 ヒルトンプラザウエスト・オフィスタワー8階)
プログラム・お申込みは↓こちらから↓
https://www.jnsa.org/seminar/nsf/2015kansai/
★JNSA会員交流部会/経営課題検討WGでは、3月18日(水)にNEDO(独立行政法人新エネルギー・産業技術総合開発機構)の方を講師に招き、勉強会を開催予定です。
勉強会概要・お申込方法は後日ご案内します。
★JNSA標準化部会/PKI相互運用技術WG・電子署名WGでは、主催セミナー「PKI day 2015」を4月10日(金)に開催します。
近日中に申込受付を開始予定です。
【事務局からの連絡、お知らせ】
★2/7(土)〜2/8(日)に開催しました「SECCON CTF 2014決勝戦・全国大会カンファレンス」は盛況のうちに終了いたしました。
多くの方々のご来場ありがとうございました。CTF決勝戦の結果は以下URLで公開しています。
http://ctf.seccon.jp/finals_score.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第54号
発信日:2015年2月13日
発行: JNSA事務局
*************************************