盗聴される,共有ファイルをのぞかれる,パスワードを盗み見られる――。ホットスポットなどの無線LANアクセス・サービスには,さまざまなセキュリティ上の不安がある。ここにきて無線LANアクセス・サービスのセキュリティを高める動きが進んでいる。通信を暗号化するカギを頻繁に変えたり,ハードウエア認証によりなりすましを防いだりする工夫をしている。完全ではないものの,ほかのユーザーの共有ファイルを見られないようにしているサービスもある。

(山崎 洋一=yyamazak@nikkeibp.co.jp)

図1●無線アクセス・サービスには多くの危険が潜んでいる
大きく分けると(1)盗聴,(2)共有ファイルの不正入手,(3)パスワードの不正入手――の3つ。

 ホットスポットなどの無線LANアクセス・サービスは,無線によって機動性というメリットを生み出す。その半面,盗聴されやすいといった無線ゆえの課題がある。こうした課題の解決を目指して,無線LANアクセス・サービスは,認証や暗号化を強化するなど,セキュリティの向上に動き出している。

無線LANの3つの不安

 無線LANアクセス・サービスには(1)通信を盗聴される,(2)共有ファイルを見られる,(3)ほかのユーザーにパスワードを盗まれやすい――といったセキュリティ上の課題がある(図1[拡大表示])。

 電波は,意図しない,必要のないところまで届いてしまう。そのため,暗号化などをしないと,簡単に盗聴される。このため,現在,普及している無線LAN方式であるIEEE802.11bなどでは,WEP(有線同等プライバシ)といった暗号化機能が組み込まれている。しかし,WEPのぜい弱さは公然の事実となっている。たとえば,2001年初頭に,カリフォルニア大学バークレー校のコンピュータ・サイエンス・ディビジョン内の1グループが,WEPが解読されやすい暗号であることを示す論文を発表している。

 また,同じ無線LANの基地局に接続するPCは,イーサネットの同一セグメントにつながっているのと同じ。なんの工夫もしていなければ,イーサネット上と同じように,共有ファイルなどが見えてしまう。

 もう1つ心配なのが,パスワードなどの盗み見である。ホットスポットなどでは,近くにいる第三者がユーザーIDやパスワードを入力するのを,のぞき見ているかもしれない。のぞき見られたら,自分のIDを使って不正にアクセスされてしまう恐れがある。

暗号カギを定期的に変更

図2●米バーニア・ネットワークスの製品は,セキュアなローミングを実現する
クライアントPCとアクセス制御装置との間にVPNを張る。別のアクセス・ポイントに移動してもVPN接続を継続できる。

 こうした課題を解決するため,プロバイダはそれぞれ工夫を始めている。

 暗号方式に,WEP以外の技術を採用してセキュリティを高めようとする動きがある。たとえば,2002年4月にサービスを開始したMIS(モバイルインターネットサービス)の「Genuine」では,AES(アドバンスト暗号標準)を採用した。1分ごとに通信に使う暗号カギを変更して,盗聴しにくくしている。

 無線LANアクセス・サービスのセキュリティを高められる製品が2002年6月に登場。米バーニア・ネットワークスの無線LAN向けのセキュリティ・システム「Vernier Networks System」である(図2[拡大表示])。テクマトリックスが販売する。既存の無線LANシステムに導入できる。クライアントPCとアクセス制御装置であるAM6000の間で,IPSec(IPセキュリティ・プロトコル)などを使ったVPN(仮想プライベート・ネットワーク)トンネルを設定するのが特徴である。このシステムを使うと,違うAM6000が管轄するLANセグメントに通信しながら移動できるローミング環境を構築できる。

共有ファイルへのアクセスを防ぐ

 共有ファイルは,すべての無線LANアクセス・サービスで見えるわけではない。ほかのユーザーの共有ファイルにアクセスできないように対処しているサービスも多い。たとえばGenuineでは,ユーザーのPCへ向けたデータは必ず「ホーム・エージェント」というルーター機能を持つ機器を経由する。ここで,Windowsのファイル共有サービスを使うのに必要なブロードキャストを遮断している。

 2002年5月に本サービスを開始したNTTコミュニケーションズの「ホットスポット」も,Windowsマシンの共有ファイルに対するアクセスを遮断しているという。日本テレコムとJR東日本が実施している「無線による,駅でのインターネット接続実験」では,クライアントPC同士の通信をさせないようにできるシステムを使って試験をしている。

 ただ,万全を期すには,共有設定や簡易Webサーバー機能などをすべて無効にしたうえで,サービスを利用した方がよい。

ハードウエア認証を採用

 パスワードの盗用を防ぐため,NTT東日本は,ハードウエアを使った認証システムを採用した。2002年6月に実験を開始した「Mフレッツ」サービスで,ユーザー認証にUSBキー(Mフレッツ認証キー)を使う。このキーをPCに差し込まないと,Mフレッツのアクセス回線を利用できないようになっている。

 同社は,「HiSWANa」という無線通信形式のアクセス・ポイントとクライアント用のハードウエアを2002年秋にも発売する予定である。HiSWANaでは,ユーザーIDに相当する「MT-ID」と認証に使う暗号カギをハードウエアに埋め込む。DES(データ暗号標準)またはトリプルDESを採用。暗号カギを任意の時間ごとに変更できるという特徴もある。