ニュース

トレンドマイクロ、Wi-Fiの危険性と安全な運用方法を解説した「IoT時代を見据えたWi-Fiセキュリティガイド」公開

 トレンドマイクロ株式会社は13日、Wi-Fi環境の脅威と、提供事業者や利用者向けに実施するべき対策を解説した「IoT時代を見据えたWi-Fiセキュリティガイド」のPDFファイルをトレンドマイクロ・パスポート(無料)の登録ユーザー向けに公開した。

 2020年に開催予定の東京オリンピック・パラリンピックに向けて拡充が進んでいる公衆無線LAN環境に加え、一般家庭での普及率が50%を超えるとされる無線LANアクセスポイントにおける危険性や、安全な運用方法が紹介されている。

 ガイドでは、Wi-Fi環境におけるセキュリティに関する脅威が「通信の盗聴」「通信の改変」「端末への攻撃」「その他の脅威」の4つに定義されており、それぞれの脅威について実証実験の結果を交えながら解説。加えてサービス提供事業者や利用者に必要な対策を紹介も紹介している。

 トレンドマイクロが今年8~9月に実施した調査では、一定量の通信を捕捉することでパスワードを解析できてしまうWEP方式による暗号化を行っているユーザーが10.3%も存在している。WEPによる暗号化は、現在販売されている無線LANルーターの多くでは初期設定で無効にされており、より安全性の高い暗号化規格であるWPA2を用いることを推奨している。

解析ツールを使ったWEPパスワード解析の様子

 それでも、辞書攻撃用ファイルを用いて順番にパスワード候補を試していくことで、接続可能なパスワードを発見することが可能なため、単語やキーボードの配列を含む推測されやすい弱いパスワードの利用を避けることを推奨している。

 同一の公衆無線LANネットワーク内で、攻撃者が端末とアクセスポイントの間に割り込み、ログイン情報などを窃取する中間者攻撃などが可能な環境であれば、DNSと端末間の通信内容を改変して接続先を変更するDNSスプーフィングの手法により、偽サイトを表示させるといった攻撃が行える。

中間者攻撃のイメージ(HTTPS通信の盗聴)
DNSスプーフィングの様子

 また、攻撃者が正規のアクセスポイントと同一SSIDの偽アクセスポイントを用意し、接続させることで、通信を盗聴し、情報を窃取したり、不正プログラムをインストールさせたりする「Evil Twin攻撃」と呼ばれる攻撃手法もある。

Evil Twin攻撃の様子

 管理コンソールの管理不備により、DNSサーバーの設定を変更することで、偽サイトへアクセスを容易に誘導できることや、MACアドレスを偽装できることによるフィルタリングの危険性、SSIDをステルス設定にしても、ある程度の知識を持った攻撃者には容易にSSID名が取得可能であることにも触れられている。

解析ツールを使って、ステルスSSIDを確認する様子

 自宅無線LAN環境における一般ユーザー向けの対策としては、「WPA2-PSK(AES)」や「WPA2パーソナル(AES)」の利用、接続用パスワードは英大文字と小文字、数字、記号を混在させて13文字以上にすることや、ルーターの管理用パスワードを初期設定から変更するとともに、ファームウェアを最新の状態に保つことが挙げられている。

 自宅外では、WEPの利用をはじめとした暗号化や認証への配慮が不足する公衆無線LAN環境の利用を控え、必要なときのみWi-Fi接続を有効化することのほか、パスワードやクレジットカード情報といった重要な情報のやりとりを行わないことが挙げられている。また、公衆無線LANへの自動接続を設定しないことや、OSをはじめとした端末の環境を最新の状態に保つことも推奨されている。

 このほか、スマートフォンでテザリングを行う際にも、自宅環境と同様の点に注意を払うべきとしている。

 公衆無線LANの提供事業者向け対策としては、ゲスト用ネットワーク内の端末同士の通信の遮断を実施すべきとしている。同社では、ホテルやカフェ、飲食店の一部で、こうした対策が考慮されていない公衆無線LAN環境を確認しているという。

 このほか、セキュリティ面で付加価値のあるサービスとして、VPNサービスや不正サイトへの接続遮断機能、不正プログラムの検出、ネットワーク上の攻撃検知・遮断と行った機能の提供も、可能であれば導入を考慮すべきとしている。