★☆★JNSAメールマガジン 第54号 2015.2.13.☆★☆

こんにちは
JNSAメールマガジン 第54号 をお届けします。

立春を過ぎ、少しずつ春の気配が感じられるような今日この頃です。
夕方5時を過ぎてもまだ明るいと、なんとなく嬉しくなりますね。

既に多くの方がご存知のことと思いますが、今月2月1日から3月18日までサイバーセキュリティ月間です。
http://www.nisc.go.jp/security-site/month/index.html
日替わりコラムでは、JNSAと関わりのある方々もコラムを執筆されていますので、ぜひご覧下さい。

さて今回のリレーコラムは、一般財団法人日本データ通信協会 テレコム・アイザック推進会議 企画調整部部長 佐藤晴樹様より、無線LANアクセスポイント機器の実態調査の結果をご紹介いただきます。


【連載リレーコラム】
「小規模無線LANサービスでブロードバンドルーターを利用したときの課題」
(一般財団法人日本データ通信協会 テレコム・アイザック推進会議 企画調整部 部長 佐藤 晴樹)

近年、利用者の利便性から、様々な団体(地方公共団体、宿泊施設、飲食店、鉄道・空港などの交通機関)が無線LANアクセスポイントを設置するなど、無線LANの利用環境が整いつつあります。今後は、個人店舗、民宿等が小規模な無線LANサービスを提供が進むことが予想されます。

一方で、利用者、設置者が無線LANを利用する際の情報セキュリティ上の脅威について正しく認識しないまま、安全でない状態で無線LANを利用している懸念があります。そこで、総務省の「電波の有効利用促進のための安全な無線LANの利用に関する普及啓発事業」の一環として、テレコム・アイザック推進会議では、無線LANアクセスポイント機器の実態調査を実施しました。この調査の結果を紹介いたします。

1. 調査目的

無線LANアクセスポイントとして利用されている機器(ルータ等)については、ニーズ用途に合わせて様々なスペックがあります。これらのスペックの中には暗号化方式等情報セキュリティに関するものもあり、アクセスポイントのスペックの差がそのまま情報セキュリティ対策の差として現れことになります。そのため、現状無線LANアクセスポイントとして利用されている機器が備えている機能について調査し、実態を把握するとともに、それらについて一定の尺度をつけて整理することで、公衆無線LANが具備すべき要件について検討する際の基礎データとすることを目的とします。

2. 調査対象

個人店舗、民宿等が小規模な無線LANサービスを提供する際に自ら無線LANアクセスポイントを設置する場合に利用することが推測される「無線LAN機能付きブロードバンドルーター」のうち、2014年9月の売れ筋ランキングの上位機種を中心に一部過去に販売された機種で入手できたものも含めて11社29機種について調査しました。

3. 調査項目

無線LAN機能付きブロードバンドルーターが持つ「暗号化」、「ネットワーク分離」、「管理画面」機能を対象として、無線LANサービス用途でブロードバンドルーターを使用した特にデフォルト値のまま利用した)場合に問題となりうる項目を中心に以下の調査をしました。

    (1) 無線LANの暗号化
    1-a)安全な暗号のサポート

    機器がWPA/WPA2をサポートしているかを確認する。

    1-b)デフォルトSSIDの暗号化種別

    デフォルトで設定されているSSIDの暗号化種別を確認する。

    (2) ネットワーク分離
    2-a)同一SSID内端末間の分離機能(プライバシーセパレーター)

    利用者端末間の通信を遮断し、悪意のあるユーザーからの不正通信を防止 できることを確認する。

    2-b)異なるSSID間の分離

    セキュリティレベル(暗号化種別)が異なるSSID間において、通信を抑止できることを確認する。

    2-c)無線〜有線間の分離

    無線区間と有線区間のセキュリティレベルが異なる場合、必要に応じて当該ネットワーク間の通信を遮断できるかを確認する。

    (3) 管理画面
    3-a)アクセス制御

    管理画面にアクセスできるネットワーク範囲を有線区間・管理用PC等、制限できるかを確認する。

    3-b)認証情報の強度

    管理画面へのログインID/パスワードについてデフォルトからの変更が必須であるかを確認する。

4. 調査結果
(1) 無線LANの暗号化
1-a)安全な暗号のサポート

調査した29機種では、2006年以前に発売された4機種を除いてWPA2がサポーされていた。2006年以前に発売された4機種についてもWPAがサポートされていた。

1-b) デフォルトSSIDの暗号化種別

デフォルトSSIDの暗号化種別ですが、調査した29種のうち、24機種では複数のSSIDに対応しているため、主たるSSID(以下、プライマリSSID)と主でないSSID(以下、便宜上ゲストSSIDと呼ぶ)に分けて結果を紹介します。
プライマリSSIDですが、29機種すべてがデフォルトでプライマリSSIDによる 無線LANが有効となっていたが、そのうち4機種では、デフォルトの暗号化がなしかWEPであった。なお、これら4機種は2009年以前発売の機種であった。複数のSSIDをサポートしている24機種のうち、デフォルトでゲストSSIDが有効になっている機種が7機種あったが、これらは、全てWEPによる暗号化であった。
また、ゲストSSIDを手動で設定する機種でも設定した時のデフォルトで暗号化がない(オープンな無線LAN)ものが9機種、暗号化がWEPであるものが4機種あった。


(2) ネットワーク分離
2-a)同一SSID内端末間の分離機能

プライマリSSIDでプライバシーセパレーターが設定可能な機種は21機種あったが、デフォルトで有効な機種はなかった。なお、プライマリSSIDで本機能が設定できない機種は、2014年に発売された機種の中にもあり、本機能の実装は発売時期にはよらない。
ゲストSSIDが設定可能な24機種において、デフォルトで有効となっているゲストSSIDまたは手動でゲストSSIDを設定したときにプライバシーセパレーターがデフォルトで有効でないものは、14機種あった。

2-b)異なるSSID間の分離

ゲストSSIDが設定可能な24機種のうち、6機種がデフォルトでプライマリSSIDとゲストSSIDとの間での通信可能であった。

2-c)無線〜有線間の分離

プライマリSSIDと有線LANとの分離が可能な機種は18機種あったが、デフォルトで有効な機種はなかった。なお、プライマリSSIDとの間で本機能が設定できない機種は、2014年に発売された機種の中にもあり、本機能の実装は発売時期 にはよらない。
ゲストSSIDが設定可能な24機種において、ゲストSSIDと有線LANとの分離は全ての機種で可能であったが、デフォルトで分離が有効でないものが4機種あった。


(3) 管理画面
3-a)アクセス制御

プライマリSSIDから管理画面へのアクセスは、すべての機種がデフォルトで 可能であり、かつ、15機種では制限することができなかった。
ゲストSSIDが設定可能な24機種において、ゲストSSIDから管理画面へのアク セスがデフォルトで可能なものは7機種あり、うち2機種は制限することがで きなかった。

3-b)認証情報の強度

管理画面へアクセスする際のパスワードの変更が初期設定時に必要な機種は、 機種のみで、他の機種はマニュアル記載のパスワードのままアクセスが可能であった。さらに6機種では、パスワードなしのままアクセスが可能であった。


5. まとめ

今回の調査から、ブロードバンドルーターは、無線LANサービスの提供に必要なセキュリティ機能が実装されていない機種があったり、実装されていても設定が必要であったりする機種もあることが明らかとなりました。

このため、ブロードバンドルーターで簡易に無線LANサービスを提供するためには、購入前に無線LANサービスの提供に必要なセキュリティ機能の調査が必要となり、また、購入後も設定が必要になる。しかし、これらの購入前の調査や購入後の適切な設定を漏らさず行うことについては、多くの人で困難が生じることが予想されます。

しかしながら、電波の有効利用促進のためには、個人店舗、民宿等が設置する小規模な無線LANサービスも必要となります。そのためには、困難だから無線LANサービスを提供するなというのではなく、安全な無線LAN提供のために必要な情報を発信していくことが必要となります。

最後に、冒頭にふれた総務省の「電波の有効利用促進のための安全な無線LANの利用に関する普及啓発事業」では、昨年度「Wi-Fi提供者向けセキュリティ対策の手引き」を作成し、ホームページ上(※2)で公開しているので紹介いたします。

※2:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/wi-fi.html
#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★JNSA西日本支部主催セミナー「NSF 2015 in Kansai」を開催します。
「ビッグデータ活用に向けて!個人情報保護法改正の背景と論点を探る」
  日時: 2015年2月20日(金)13時30分〜17時30分(受付開始13時)
  場所: 第二吉本ビルディング 会議室A+B
    (大阪市北区梅田2-2-2 ヒルトンプラザウエスト・オフィスタワー8階)
  
    プログラム・お申込みは↓こちらから↓
  http://www.jnsa.org/seminar/nsf/2015kansai/

★JNSA会員交流部会/経営課題検討WGでは、3月18日(水)にNEDO(独立行政法人新エネルギー・産業技術総合開発機構)の方を講師に招き、勉強会を開催予定です。
 勉強会概要・お申込方法は後日ご案内します。

★JNSA標準化部会/PKI相互運用技術WG・電子署名WGでは、主催セミナー「PKI day 2015」を4月10日(金)に開催します。 近日中に申込受付を開始予定です。

【事務局からの連絡、お知らせ】
★2/7(土)〜2/8(日)に開催しました「SECCON CTF 2014決勝戦・全国大会カンファレンス」は盛況のうちに終了いたしました。  多くの方々のご来場ありがとうございました。CTF決勝戦の結果は以下URLで公開しています。
 http://ctf.seccon.jp/finals_score.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail

*************************************
JNSAメールマガジン 第54号 
発信日:2015年2月13日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.