今週のSecurity Check(第198回)

 職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。

 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。

 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最新の仕組みを利用しているケースはわずか15%。WEPのぜい弱性を考えると,多くのユーザーがいつ第三者に不正利用されてもおかしくない状況にある。

WEPはFMS攻撃,PTW攻撃の危険にさらされている

 WEPについては,これまでにいくつものぜい弱性を指摘されている。例えば暗号化アルゴリズムの扱い方に欠陥があり,WEPキー(パスフレーズ)を容易に解析される可能性がある。

 有名なのは,「Weaknesses in the Key Scheduling Algorithm of RC4」という論文で,S. Fluhrer氏,I. Mantin氏,A. Shamir氏によって2001年に発表された。これを受けて,Adam Stubblefield氏,John Ioannidis氏,Aviel D. Rubin氏らによって「Using the Fluhrer, Mantin, and Shamir Attack to Break WEP」という論文も発表された。このコンセプトは最初の論文を発表した3氏の頭文字をとってFMS攻撃と呼ばれ,AirSnortなどに実装されている。

 さらに2004年にはNetStumblerのユーザー・サイト(netstumbler.org)で,KoreKというハンドルネームのユーザーがchopchopという攻撃ツールを投稿した。このコンセプトもすぐにAirSnortやaircrackなどのツールに取り込まれた。

 2007年に入ると,ドイツの大学Technical University DarmstadtのErik Tews氏,Ralf-Philipp Weinmann氏,Andrei Pyshkin氏らによって「Breaking 104 bit WEP in less than 60 seconds」というインパクトのあるタイトルの論文が発表された(PTW攻撃)。これはAndreas Klein氏が先に発表したRC4への攻撃をWEPに特化させたもので,WEPキーを1分以内に解析可能とするものである。研究チームにより,aircrack-ngを基にしたaircrack-ptwというツールも公開された。この攻撃手法はその後本家のaircrack-ngにも取り込まれた。2007年12月現在の最新のβ版(1.0-beta1)のデフォルトの攻撃方法はこのPTW攻撃である。

 こうした攻撃の可能性を考えると,WEPはもはやセキュリティ対策として通用しないと言っても言い過ぎではないだろう。企業での使用はもちろん,家庭用途での使用も薦められない。後述するWPAやWPA2といったセキュリティ規格に対応している機器であれば,すぐにでもそちらの規格を使うべきである。

 実際に1分程度で128bit(104bit)のWEPキーを解析している様子を以下に示す。

図1 WEPキー解析の様子
図1 WEPキー解析の様子
[画像のクリックで拡大表示]

 図の上部を見ると1分程度で解析が完了したことが確認できる。実際には図の下部にある「ASCII」部分にパスフレーズが,「KEY FOUND」部分にその16進表記が表示される。なお,解析には一般的なノート・パソコンとして,Thinkpad X32(Intel Pentium M 1.80GHz,メモリー512Mバイト)を使用した。このように,WEPキーは容易に解析できる状況にある。

 なお,アクセス・ポイント製品にはMACアドレスでのアクセス制限やSSIDを秘匿する機能も実装されているが,どちらの情報も無線上を流れるパケットに暗号化されずに格納されるため,攻撃者はパケット・キャプチャなどによって容易に情報を入手できる。MACアドレスに関してはソフトウエアやファームウエアで書き換えることができ,本質的な対策にはならない。