認証不要でWi-Fi通信の傍受を不可能に、フリーWi-Fi向け新規格「Wi-Fi CERTIFIED Enhanced Open」

公衆無線LANを前提とした新規格「Wi-Fi CERTIFIED Enhanced Open」

　さて、今回は「Wi-Fi CERTIFIED Enhanced Open」についてだ。Wi-Fi CERTIFIED Enhanced Openは、今年6月5日に公開された規格であり、国内でも6月末の説明会で紹介されており、連載の第12回では、「おそらく『RFC8110』で規定された『Opportunistic Wireless Encryption』になるのではないかとみられている」と説明したが、実際にその通りだった。

　ホットスポットなどの公衆無線LAN環境では、アクセスポイントのESSIDとパスワードを誰にでも公開した状態で運用するかたちとなるため、WPA2/WPA3に基づく認証があまり現実的ではないことが、この規格制定の背景にある。だからといって、IEEE 802.1Xに基づく個人認証を行わせるのは、もっと現実的ではない。

　結果として、公衆無線LANでは通常、ESSIDを公開（壁に貼るなど）し、パスワードなしで運用するという形態になる。ただ、この場合には暗号化されずに通信が行われるかたちになるので、傍受し放題になってしまうという、セキュリティ面での懸念が以前から指摘されていた。

　もちろん、これを言い始めると切りがない話なのだが、そもそも公衆無線LANを使っているときに、アクセスポイントの先のネットワークでは傍受がされないのか？　というと、当然そんな保証もないわけだ。

公衆無線LANでの傍受を不可能にするVPN以外の手段を、Wi-Fi CERTIFIED Enhanced Openの目的

　よって、本当にセキュアな通信環境を利用したいなら、VPNを併用するといった使い方が必要になる。ただ、今のところこれをきちんと自分で設定できるユーザーはそう多くないだろう。VPNの場合、そもそも「どこと」接続するか、から始まるから話は大変なのだ。これが仕事であれば、会社のVPNサーバーに接続すればいいのだが、「自宅にVPNサーバーを立てろ」と言われて、パッと実行に移せる人が多いとは言えないだろう。

　「VPN Gate」（https://www.vpngate.net/ja/）のように、無償で公開されているVPNサービスもあるので、これを利用すれば簡単ではあるが、当たり前ながら事前に設定をしておかないと使えない。ついでに言えば、世の中にはVPN Gate以外にも、さまざまな無償のVPNサービスが存在する。これらが本当に信用できるかを担保してくれるものはないので、「利用は自己責任で」となってしまう。それが嫌なら、自分でVPNサーバーを立てるしかないわけだ。

　やや脱線しかかったので元に戻そう。そんなわけで、セキュアな通信環境を利用するには、根本的にはVPNのような別種の対策手法が必要となるわけだが、それはもはやWi-Fiの範疇ではないわけだ。

　そこで、あくまでもWi-Fiの範疇において、「公衆無線LAN環境で、クライアントとアクセスポイントの間の通信を、ほかのクライアントに傍受されない仕組み」を提供しようというのが、Wi-Fi CERTIFIED Enhanced Openの目的である。

　実はこれにはもう一つ理由がある。IEEE 802.11nの仕様の中でWEPあるいはWPA-TKIPを使った場合には、「IEEE 802.11nによる高スループットの通信が不可能とされ、自動的にIEEE 802.11g相当に落ちる」という話を、本連載の第10回で紹介したが、公衆無線LANはまさにこれにばっちり当てはまってしまう。

　もちろん「公衆無線LANにそんな高スループットの通信は不要」との議論もなくはないのだが、IEEE 802.11acやIEEE 802.11axで、わざわざ混雑の解消や同時アクセス数の強化を行っているにも関わらず、現実問題として、これらが利用できずに制限の多いIEEE 802.11g相当での通信となってしまうというのも、ある意味では馬鹿馬鹿しい話である。

　そんなわけで、認証を不要にしつつ、きちんと暗号化通信ができる仕組みを整えよう、という機運が高まった結果が、このWi-Fi CERTIFIED Enhanced Openとなるわけだ。

Wi-Fi CERTIFIED Enhanced Openに至るまでの取り組み

　ちなみに、Wi-Fi CERTIFIED Enhanced Openが制定されるまで、Wi-Fi Allianceが何もしなかったわけではない。2004年には「WPA Deployment Guidelines for Public Access Wi-Fi Networks」というドキュメントをリリースしている。ただ、ここで想定されているのは、以下の図のように、有償のホットスポット契約して利用するというものだ。

2004年当時、無償の公衆無線LANは考慮されていなかった。出典は2004年の「WPA Deployment Guidelines for Public Access Wi-Fi Networks」（Wi-Fi Alliance）

　このためホットスポットの側に、認証／Proxyサーバーである「AAA-V」があり、その気になればIEEE 802.1Xの認証モデルが利用可能である。ただ、どちらかと言えば、ホットスポットのウェブサイトにいったん接続し、ここで認証を行うというパターンの方が多いことを考慮してか、「WPAの方は"anonymous"とか"user"といった一般的な名前を使って認証するように設定すべき」と記載されている。当時としては、それしかソリューションがなかったのだろう、と推察される。

　ほかの動きとしては、例えば香港の通訊事務管理局辦公室（Office of the Communications Authority：当時はOffice of the Telecommunications Authority）が2008年、"Guidelines on the Security Aspects for the Design, Implementation, Management and Operation of Public Wi-Fi Service"という指針を発表している。

　これを読むと、WPAないしWPA2の使用を推奨しつつも、"アクセスポイントのSSIDや管理者パスワード、暗号化キー、DHCPでリースするIPアドレスのレンジなどは、工場出荷初期値ではなく「適切に」設定することとされている。ただし、どうすれば「適切」にあたるのかや、WPA/WPA2の認証パスワードをどう設定すべきかは記載されていない。その代わり、事業者に対し、VPNないしSSLあるいはTLSで保護された通信経路を提供し、ユーザーデータを保護することを“推奨”（「Operators should implement～」なので、義務付けにはなっていない）している。当時としては、このあたりが落としどころだったのだろう。

　最近では今年4月、Intelと、ケーブルモデムベンダーのArris、ドイツのケーブルTVキャリアであるtelenetの3社が共同で、"A New Approach to Delivering Secure Community Wi-Fi"なるホワイトペーパーをリリースしている。この中で、以下の「Cloud-base WPA」というアーキテクチャーが提唱されている。ただ、あまり普及し始めているという話は聞かない。言いたいことは分かるのだが、これは特定向けソリューション以上のものになりそうにない。

DOCSISのモデムがあることからも分かるように、欧州には多いCATV回線を使ったインターネット接続の上で、Regidential Hotspotを構築しようという試みだ。出典は"A New Approach to Delivering Secure Community Wi-Fi"