MetaGeek ソリューション

製品・技術情報

MetaGeek ソリューション

ワイヤレスセキュリティの基本

ワイヤレスセキュリティにはいくつかの種類があります。その内容をかいつまんで説明します。

WEP

クライアントがWEPで保護されたネットワークに接続すると、"初期化ベクトル"(initialization vector)または"IV"を作成するためにWEPキーがデータに追加されます。例えば、128ビットの16進数のキーは、キーボードの26文字(4ビット×26文字＝合計104ビット)と24ビットIVで構成されています。クライアントがAPに接続すると、APからのチャレンジ応答で満たす認証要求が送信されます。クライアントは、鍵でチャレンジを暗号化し、APはそれを解読し、受信したチャレンジが送信したチャレンジと一致する場合、APはクライアントを認証します。

セキュリティの状況を理解するための助けが必要ですか？

inSSIDer Officeを使いWiFi状況を可視化！
セキュリティの状況を理解に役立つ

この方法は安全そうに思えますが、暗号化キーを盗まれてしまう弱点がありました。それは、クライアントがAPに向けて送信する認証要求の中に、暗号化されていないIVが含まれているからです。これに加えて、IVはWEPキーに比べて単純です。そして、ネットワークにつながっている複数のクライアントが同じWEPキーを使用していると、IVが繰り返し使われる確率が高くなります。ネットワークが混んでいると、WEPを利用しているネットワークにアクセスしようとしている悪意のあるユーザは簡単にIVを盗み取り、短時間にいろいろなIVを集められます。十分な数のIVが集まると、WEPキーは解読され意味がなくなってしまうのです。

明らかに、WEPはネットワークのセキュリティとして正しい選択でありません。これを踏まえて、他のタイプのワイヤレスセキュリティ規格がつくられました。

WPA

WPAは「Wi-Fi Protected Access」の略です。WPAは、WEPの脆弱性を対策すべく、2003年にWi-Fiアライアンスによって制定されました。この新しいセキュリティ標準(Temporal Key Integrity Protocol (TKIP) )には、「マイケル」と呼ばれる、新しいメッセージ完全性チェック機能を含む、さまざまな改善が盛り込まれました。「マイケル」は、古いネットワークセキュリティ方式に多くの改善を提供しました。しかし、同じようなセキュリティ上の問題があり、さらなる改善が必要でした。

WPA2

「マイケル」に対する不安は、2004年にWPA2の導入へとつながりました。WPA2の要点は、米国政府御用達の暗号方式であるAdvanced Encryption Standard(AES) に基づくセキュリティ・プロトコルの使用にあります。

いまでは、802.11g専用の装置を使っている人たちだけがTKIPを使っています。

WPS

2007年に、新しいセキュリティ方式であるWi-Fi Protected Setup(WPS) がAPで使われ始めました。この方式を使うと、管理ソフトウェアの中または無線ルータ内のボタンを押すか、クライアント装置に8桁のPIN番号を入力するだけで、ユーザは新しい装置をネットワークに追加することができます。PIN番号は、長いWPA(Wi-Fi Protected Access) キーへの一種のショートカットの役目を果たします。WPSの基本的な考え方は、APに物理的にアクセスしてボタンを押し、ステッカーを読むことができれば、より安全にWi-Fi認証を実行できる、というところにあります。セキュリティ研究者が認証プロセスのアキレス腱を発見するまでは、WPSはすべて順調でした。

アキレス腱とは：
PIN番号の最後である8桁目は、7桁目までに誤りがあるかどうかの判定に用いるチェックサムです。この7桁の数字には、10,000,000通りの組み合わせ(0000000から9999999まで) があります。かなり膨大な組み合わせなので、これだけで安全であると思われてきました。ところが、チェックのプロセスに欠陥がありました。APでPIN番号を調べるときに、最初の4桁(10,000通り) と残りの3桁(1,000通り) は別々にチェックされます。これは悪意のあるユーザにとって、最大11,000回の推定で済んでしまうことを意味します。コンピュータならば、ほんの数時間で、この推定を実行できます。

お分かりの通り、もしWPSを使っている人がいるなら、すぐに止めるべきです。