【無線LANコラム】第2回　

無線LANシステム設計・構築におけるセキュリティ面の考慮について

1. 回避できないリスク

無線LANのウィークポイントは、以下の通りです。

• データが傍受可能であること

無線LAN通信のデータは、端末～無線LANアクセスポイント間を電波に乗せてやり取りをすることになりますが、この区間のデータは誰でも受信できます。
携帯電話などで使用する周波数帯とは違い、無線LANで利用する電波の周波数帯は、無線LANを利用可能なPCであれば容易に受信することが可能であり、データの中身を見られてしまうリスクが高いと言えます。

結果、無線LAN接続に必要な情報を不正入手され、不正侵入されるリスクが高いと言えます。

• 傍受されやすい情報

(1) SSID

無線LANシステムにおいて、端末は自身が接続すべきSSIDを何らかの形で指定する必要があります。

無線LANシステム側でこの情報をブロードキャストさせず、送出する電波からSSID情報を隠蔽することができます。 これにより、端末は自身が接続すべきSSID情報を自ら発信しないと目的の無線LANサービスへ接続できない状態となります。

一般的にこの手法を「SSID隠蔽」または「SSIDステルス設定」と呼びます。

この手法により、接続すべきSSID文字列を知らないユーザーからの接続要求を防ぐことができると考えられます。しかし実はこの設定は、特定の管理フレーム内からSSID文字列を隠すことはできますが、実データ（端末が実際に通信しているデータ）からは消えません。

つまり、パケットキャプチャにより、近辺の無線アクセスポイントから発せられるSSID情報を入手し、接続を試みることが可能となります。 よって、SSID隠蔽設定のみでは、セキュリティ対策として十分とは言えません。

(2) MACアドレス

個体認証の比較的ポピュラーな認証方式として、MACアドレス認証がありますが、無線LANカードのMACアドレスは、802.11ヘッダに必ず載ってしまいます。

データの暗号化等により保護できるようにも思われがちですが、これは802.11フレームのデータ部分を暗号化する技術であり、ヘッダにおける暗号化技術ではありません。

よって、MACアドレスは、現在利用可能であるどんな暗号化方式を採用しても、隠すことができません。 また、MACアドレスを詐称することは容易に可能であるため、MACアドレス認証のみでのセキュリティ対策は十分とは言えません。

これらの情報を傍受されることにより、外部からの悪意あるユーザーによる社内ネットワークへの不正侵入のリスクが生じます。