期待のネット新技術
Passpointの仕様である「Hotspot 2.0」のベースとなった標準規格「IEEE 802.11u」
【利便性を向上するWi-Fi規格】(第18回)
2018年11月20日 06:00
Wi-Fiにおける暗号化の方式は、当初用いられていた「WEP」から「WPA」「WPA2」へと変遷したが、2017年に公表されたWPA/WPA2の脆弱性“KRACKs”を受け、2018年後半には新機能「WPA3」が提供予定だ。
一方、SSIDやパスワードが公開されて運用されることの多いフリーWi-Fiでは、これまでならVPNなどを使って通信を暗号化する必要があった。こうした環境で、アクセスポイントとクライアント間の通信を傍受されない仕組みを提供するのが、前回までに解説した「Wi-Fi Certified Enhanced Open」だ。
今回からは、SSIDによらない認証手段を提供することで、接続先のSSIDをシームレスに切り替えてフリーWi-Fiを利用できる「Wi-Fi CERTIFIED Passpoint」などについて解説していく。(編集部)
「利便性を向上するWi-Fi規格」記事一覧
- Wi-Fiにおけるメッシュネットワークの必要性
- Wi-Fiメッシュ標準「IEEE 802.11s」策定の流れと採用技術
- Wi-Fiメッシュで通信コストを最小化する仕組みとは?
- 「IEEE 802.11s」策定までの流れと採用技術
- 11s非準拠のQualcomm「Wi-Fi SON」がWi-Fiメッシュの主流に
- 「Wi-Fi SON」製品は相互非互換、Wi-Fi Allianceは「EasyMesh」発表
- 最初のWi-Fi暗号化規格「WEP」、当初の目論見は“有線LAN同等のセキュリティ”
- Wi-Fi暗号化は「WPA」から「802.11i」を経て「WPA2」へ
- より強固になった「WPA」で採用された「TKIP」の4つの特徴
- 「AES」採用の「IEEE 802.11i」「WPA2」、11n普及で浸透
- WPA/WPA2の脆弱性“KRACKs”、悪用のハードルは?
- 4-way Handshake廃止で「SAE」採用の「WPA3」、登場は2018年末?
- SSID&パスフレーズをボタンを押してやり取りする標準規格「WPS」
- ボタンを押してSSID&パスフレーズをやり取りする「WPS」の接続手順
- WPSのPIN認証における脆弱性を解消した「WPS 2.0」
- フリーWi-Fi向け「Wi-Fi CERTIFIED Enhanced Open」で傍受が不可能に
- 暗号鍵を安全に共有する「Wi-Fi CERTIFIED Enhanced Open」
- 「IEEE 802.11u」がPasspoint仕様である「Hotspot 2.0」のベースに
- 国内キャリアも採用のホットスポット提供指標「WISPr」
- ホットスポットでの認証の問題を解消した「HotSpot 2.0」
- 【特別編1】全Wi-Fi機器に影響、脆弱性「FragAttack」の仕組みは?
- 【特別編2】脆弱性「FragAttack」悪用した攻撃手法とは?
- 【特別編3】脆弱性「FragAttack」を悪用する3つ目の攻撃シナリオとその手法
- 【特別編4】A-MSDUを悪用する「Frame Aggregation」を利用した攻撃の流れ
- 【特別編5】「Mixed Key Attack」を利用した攻撃シナリオとその手法
- 【特別編6】「FragAttack」を悪用した攻撃の足掛かりとなる脆弱性
- 【特別編7】Wi-Fiの脆弱性「FragAttack」を悪用した攻撃への対策とは?
ホットスポットごとの認証をユーザーに強いる点が問題
不特定多数のユーザーがアクセスする公衆無線LANのフリースポットに関しては、「Wi-Fi CERTIFIED Enhanced Open」を使えば通信を傍受をできなくなるわけだが、これとは別に“特定多数”からのアクセスの利便性に問題がある点に関しては、何の対策にもならない。これは、Wi-Fi Allianceでも認識しており、その方策が検討されていた。
この“特定多数”という言い方はややおかしいかもしれないが、例えば、主要な携帯電話キャリアでは、それぞれのキャリアでの認証が通れば、そのまま使える公衆無線LANのアクセスポイントをそこら中に設置しているのはご存知だろう。
ほかにもコンビニだったり、チェーン系の喫茶店だったり、さまざまな場所に「ユーザー登録と認証が必要なホットスポット」が多数設置されている。この結果、ある程度以上の規模の都市部では、外出時にWi-Fiだけでインターネットの常時接続をまかなうことも不可能ではないほど、公衆無線LANが普及した。
だが、問題は、それぞれのホットスポットが別々の認証をユーザーが強いる点だ。最近では、例えば最初に接続した際の登録を覚えておいて、2度目以降の接続時にも利用することで接続時の認証をある程度は半自動化することもできるようになったほか、スマートフォン向けには「タウンWiFi」のようなアプリも登場して、ある程度はこうした問題もカバーされている。
ホットスポットへの接続認証で共通して利用できる「Wi-Fi CERTIFIED Passpoint」
ただ、これらはスマートフォンのプラットフォームだけの話で、「タウンWiFi」アプリにしても全世界で使えるわけではない。こうした接続の不便さを解消するための方策として、ホットスポットでの接続認証に共通して利用できるプラットフォームが、Wi-Fi Allianceが2012年6月に発表した「Wi-Fi CERTIFIED Passpoint」となる。
Passpointは以前、「Hotspot 2.0」と呼ばれていたものだ。厳密に言えば、技術的仕様がHotspot 2.0という名称でまとめられており、このHotspot 2.0を利用して認証をワンストップ化するエコシステムの総称を「Passpoint」というべきだろうか。このあたり、Wi-Fi AllianceはFAQページで「PasspointはWi-Fi Allainceが提供する認証プログラムのブランド名であり、この認証はWi-Fi Alliance Hotspot 2.0の仕様に基づくデバイスで実施される」と両者の位置付けを説明している。
Hotspot 2.0とはいっても、「1.0」があるかというと否で、「2.0」が最初のバージョンだ。要するに、これまで市販のルーターを用いて勝手に設置されていたホットスポットが「Hotspot 1.0」に相当し、、これを置き換えるとの位置付けで2.0という意味らしい。そのHotspot 2.0のベースとなるのが、標準規格「IEEE 802.11u」だ。
Passpoint仕様である「Hotspot 2.0」のベース、標準規格「IEEE 802.11u」
IEEE 802.11uは、2004年5月にP802.11uとして標準化に関する策定作業が始まったものだ。この時点のIEEE 802.11uは、言わば「アクセスポイントの仮想化」とでも言うべきものが想定されていた。2013年にAthelosが発表した資料によれば、IEEE 802.11uが基本的に目指していたのは、以下のような構図だ。
つまり、外出先でさまざまなホットスポットを切り替えて、つまり複数のSSIDを切り替えながら使うという構図になる。ここで利用者に対し、SSIDによらない認証手段を提供するとともに、クライアントが自動的にSSIDを選択して登録できるような仕組みを用意すれば、複数のホットスポットをシームレスに切り替えて利用できるようになり、便利というわけだ。
以下の具体的なGUIの例によれば、Verizonによる「LMS(Localized Mobile Services)」というアイコンをクリックすることで、ホットスポットごとに設定を変更することなく、接続ができるようになるという目論見だ。
これを可能にするために、まずクライアントの側はGUIと、IEEE 802.11uのプロトコルスタック、IEEE 802.11uへアップデートなどで対応を行ったWi-Fiドライバーが必要になる。その例が以下だ。
設定画面にある「Mode」のOpen/Closeというのは、要するに自分がその場所に接続しているという情報を、アクセスポイントの接続先を含むプロバイダーへ示すかどうかを設定するものだ。Openにすると、それこそ接続先のアクセスポイントの場所などから、自動的に広告が表示されることになる。
実際にサービスの提供形態を考えた場合、クライアントは、プロバイダー(この例で言えばVerison)に対して接続料を支払うことになる。その一方で、プロバイダーは実際に接続されるアクセスポイントのプロバイダーに対し、やはり接続料を支払い、ユーザー向けにアクセスポイントを提供してもらうかたちとなる。
もちろんアクセスポイントのプロバイダーをVerisonが兼用していればこの限りではないが、上の図の例でいうなら、TargetやAscot、Starbucks、Best Buyといったショップが提供するアクセスポイントを利用するケースもある。こうした場合は、そのアクセスポイントのプロバイダーが表示する広告をユーザーに許容してもらう(もしくは、Verisonが接続料を支払って広告表示を止めてもらう)というビジネスモデルになる。
実際には、広告表示を単純にオン/オフできるほどシンプルになるかどうかは定かではないが、とりあえず、P802.11uではこうした使われ方がなされるだろうという前提で、話が進んでいたわけだ。
「IEEE 802.11u-2011」として2011年2月に標準化
さて話をP802.11uに戻そう。既にこちらもミーティングごとのレポートなどの配布が全て終了している関係で、どんな具合に議論が進んでいたのかは概略でしか分からないが、当初のミーティングでは論点として、以下のような項目が列挙されていた。
- Air Interface(クライアントとアクセスポイント間の議論)
Access Router identifier - layer 3 mobility
MAC address anonymity
Network Detection Selection
Beacon scalability
Universal Access Method/IEEE 802.11i co-existence
Channel Management
User registration
User clear down - Network-Network Interface(アクセスポイントとプロバイダー間の議論)
Policy enforcement
Access control
Simultaneous access
External QoS mapping
User access revocation
Admission control
これらの論点は、その後の議論を経て整理されていったが、途中からは携帯電話キャリアとの連携も必要となり、2005年9月には、11の外部団体に対して、ドキュメントレビューの要請が出されている。2005年11月には、ドラフトのプロポーザルに応じ、Huawai&Intel/Siemens/Panasonic/STMicroelectronics/FMCA/Root Inc/Nokiaという7つの団体が、提案のプレゼンテーションを行っている。
翌2006年中も活発に議論が行われ、2007年1月にはDraft D0.03のレビューが行われた。ただ、2007年中には議論が収束せず、2008年6月にDraft D3.0が76.87%の得票で承認され、やっと収束の方向に向かう。ただそこからも審議が続き、スポンサー投票に移ったのは2009年11月のことだった。最終的には、さらに1年後の2010年11月、5度目のスポンサー投票(Draft VersionはD13.0になっている)を経て審議が終了。IEEEはこれを2011年2月25日に「IEEE 802.11u-2011」として標準化作業を完了した。スタートから7年近くを要し、結構な難産となった。
【お詫びと訂正 11月21日 17:15】
記事初出時、P802.11uの目的に関する記載内容に誤りがありましたので、該当する箇所を削除しました。お詫びして訂正いたします。
誤:Openにすると、それこそ接続先のアクセスポイントの場所などから、自動的に広告が表示されることになる。もともとP802.11uの目的(Objectives)は"IEEE 802.11u assists the advertising and connection to remote services beyond the DS. It provides information to the STA about the external network prior to association."、つまり、DSを超えたリモートサービスへの広告と接続をサポートすることとされ、当初から広告を表示することが前提となっている。
正:Openにすると、それこそ接続先のアクセスポイントの場所などから、自動的に広告が表示されることになる。
「利便性を向上するWi-Fi規格」記事一覧
- Wi-Fiにおけるメッシュネットワークの必要性
- Wi-Fiメッシュ標準「IEEE 802.11s」策定の流れと採用技術
- Wi-Fiメッシュで通信コストを最小化する仕組みとは?
- 「IEEE 802.11s」策定までの流れと採用技術
- 11s非準拠のQualcomm「Wi-Fi SON」がWi-Fiメッシュの主流に
- 「Wi-Fi SON」製品は相互非互換、Wi-Fi Allianceは「EasyMesh」発表
- 最初のWi-Fi暗号化規格「WEP」、当初の目論見は“有線LAN同等のセキュリティ”
- Wi-Fi暗号化は「WPA」から「802.11i」を経て「WPA2」へ
- より強固になった「WPA」で採用された「TKIP」の4つの特徴
- 「AES」採用の「IEEE 802.11i」「WPA2」、11n普及で浸透
- WPA/WPA2の脆弱性“KRACKs”、悪用のハードルは?
- 4-way Handshake廃止で「SAE」採用の「WPA3」、登場は2018年末?
- SSID&パスフレーズをボタンを押してやり取りする標準規格「WPS」
- ボタンを押してSSID&パスフレーズをやり取りする「WPS」の接続手順
- WPSのPIN認証における脆弱性を解消した「WPS 2.0」
- フリーWi-Fi向け「Wi-Fi CERTIFIED Enhanced Open」で傍受が不可能に
- 暗号鍵を安全に共有する「Wi-Fi CERTIFIED Enhanced Open」
- 「IEEE 802.11u」がPasspoint仕様である「Hotspot 2.0」のベースに
- 国内キャリアも採用のホットスポット提供指標「WISPr」
- ホットスポットでの認証の問題を解消した「HotSpot 2.0」
- 【特別編1】全Wi-Fi機器に影響、脆弱性「FragAttack」の仕組みは?
- 【特別編2】脆弱性「FragAttack」悪用した攻撃手法とは?
- 【特別編3】脆弱性「FragAttack」を悪用する3つ目の攻撃シナリオとその手法
- 【特別編4】A-MSDUを悪用する「Frame Aggregation」を利用した攻撃の流れ
- 【特別編5】「Mixed Key Attack」を利用した攻撃シナリオとその手法
- 【特別編6】「FragAttack」を悪用した攻撃の足掛かりとなる脆弱性
- 【特別編7】Wi-Fiの脆弱性「FragAttack」を悪用した攻撃への対策とは?