2016.11  第 4 号 特集記事-3

公衆無線LANイメージ

その公衆無線 LAN は本当に安全に使えますか?
~無線 LAN のセキュリティリスクと行うべき対策を考える~

訪日外国人の増加や動画配信の利用拡大に伴い、公衆無線LANに対するニーズが高まっています。これに対応するため、通信事業者やカフェ、コンビニ、交通機関等が提供する公衆無線LANサービスも増えています。ここで大きな課題になっているのがセキュリティの確保です。実際に、公衆無線LANを使うことでアカウント情報等の個人情報が盗まれるケースは、決して少なくありません。それでは公衆無線LANサービスには具体的にどのようなセキュリティリスクがあり、いかなる対策が可能なのでしょうか。ここではその概要を紹介すると共に、最新技術を適切な形で活用することで安全性の高い公衆無線LANサービスが実現できることを示します。

インバウンド増加と動画配信の拡大がもたらした公衆無線LANサービスへの高いニーズ

2015年に過去最高を記録した、日本を訪れる外国人の数。45年ぶりに出国日本人数を超え、インバウンドによる景気向上にも大きな期待が寄せられるようになっています。東京オリンピック・パラリンピックが開催される 2020年には、この傾向がさらに顕著になっているはずです。

cisco insight 訪日外国人が過去最高に

ここで大きな課題になっているのが、外国人に対する通信環境の整備です。訪日外国人の多くは日本の携帯電話事業者との契約を持っておらず、LTE等の無線ブロードバンドサービスを利用できません。そのため公衆無線LANサービスへのニーズが高くなっていますが、日本ではその環境がまだ十分に整備されていないと指摘されています。ロビーで公衆無線LANサービスを提供しているホテルの中には、数多くの外国人がこのサービスの利用のために押し寄せる、といった現象も見られるようになっています。
しかし公衆無線LANサービスの整備を求めているのは、訪日外国人だけではありません。実は日本人の中でも、公衆無線LANサービスへのニーズは高いのです。
ICT 総研が2015年3月に実施したアンケート調査によれば、4,412人のアンケート回答者のうち36.1%が公衆無線LANサービスを利用していると回答。このうち2,159人のスマートフォンユーザでは、その割合が56.1%と高くなっています。スマートフォンユーザは現在も年々増え続けているため、公衆無線LANサービスの利用者も増加傾向にあると言えます。

cisco insight 公衆無線LANサービスアンケート

LTE等の無線ブロードバンドサービスを利用できるのに、なぜ公衆無線LANサービスも利用するのでしょうか。それは利用サービスのトラフィックが急速な勢いで増大しており、そのすべてを無線ブロードバンドサービスで利用すると高額なパケット料金がかかる可能性があるからです。また定額性サービスを契約している場合でも、パケット上限にひっかかることで、その後は低速な通信しか行えなくなるという問題が生じます。
トラフィック増大の主要な原因になっているのは、動画配信サービスの利用拡大です。最近では光ケーブルを利用した高速ブロードバンドサービスの普及に伴い、インターネット経由で有料動画配信サービスを利用するユーザが増えていますが、その多くがスマートフォンでの視聴もサポートしています。また以前はコンテンツ 1 本ごとに価格が設定されたペイパービュー(PPV)方式が一般的でしたが、最近では定額見放題のサービスも登場し、その利用者も急増しています。どこででもスマートフォンで気軽に動画コンテンツを楽しむ、というライフスタイルが当たり前のものになりつつあるのです。

cisco insight 有料堂が配信サービス利用者数 需要予測

有料動画配信サービスを利用していないスマートフォンユーザも、実は日常的に動画配信を受けています。例えばFacebook等のSNSでは動画が投稿されることが多くなっており、それがタイムラインに表示されると自動的に再生されるようになっています。また無料で利用できるゲームコンテンツでは、時折広告を表示することで収益を確保していますが、この広告も最近では動画のものが増えています。無料ゲームを楽しんでいたら予想外にパケット量が増えていて驚いた、という経験をした方も少なくないはずです。
このような状況に対応するため、携帯電話事業者も公衆無線LANサービスの拡充に務めています。特に人の集まるエリアでは、ユーザ数の増加に伴いブロードバンドサービスの通信速度が低下するため、公衆無線LANサービスの利用を推奨するようになっています。またカフェやコンビニ、交通機関等を運営する企業も、自社の施設内で公衆無線LANサービスを提供するケースが増えています。冒頭に指摘した課題の解決に向けた動きは、着実に進んでいると言えるでしょう。
ここで気になるのが、公衆無線LANサービスのセキュリティです。現在提供されているサービスは、本当に安全に利用できるものなのでしょうか。

APの暗号機能では回避できない盗聴、なりすましAPの存在も大きなセキュリティリスク

ここでまず公衆無線LANサービスをカテゴリー化し、それぞれに潜在するセキュリティリスクを整理してみましょう。公衆無線LANサービスは大きく、有料サービス、無料サービス、野良アクセスポイント(AP)によるサービスの3種類に分けられます。

cisco insight 公衆無線LANとセキュリティの関連性

有料無線LANサービスは、無線通信事業者や固定通信事業者が、契約者を対象に提供しているものです。これを利用するには、アクセスポイントの SSIDと暗号化キーの他、契約者のユーザIDとパスワードが必要です。サービスの中には事前に「プロファイル」という設定ファイルをインストールさせることで、ユーザIDやパスワードを毎回入力する必要がない、周辺のアクセスポイントを検索できる、といった高い利便性を提供するものもあります。またSIMカードを認証に使用するサービスも存在します。

無料無線LANサービスは、カフェやコンビニ、交通機関、自治体等の事業体が、不特定多数の人々に対して無償で提供しているものです。ユーザ認証には、ユーザのメールアドレスやSNSアカウント等を利用します。ただし有料無線LANサービスのユーザ認証とは異なり、これによってユーザを特定することは不可能です。無料メールサービスに一時的にユーザ登録する、SNSに偽名で登録する、といったことで、本人特定を逃れることが容易だからです。また通信を暗号化していないサービスも多く、安全性は必ずしも高いとは言えません。

野良アクセスポイントによるサービスは、個人が提供する無線LANです。アクセスポイントの設定はその所有者に任されており、適切な管理が行われているという保証はありません。例えば暗号化キーが設定されていないことは珍しくなく、設定されていた場合でも、店の電話番号や推測しやすい語呂合わせのケースが少なくありません。なかには管理者用パスワードがアクセスポイントの出荷状態のまま放置されており、簡単に管理者権限でアクセスできるものも存在します。

一方、公衆無線LANサービスのセキュリティリスクも、大きく3種類あります。

第1は盗聴です。暗号化されていない無線通信は、その電波を受信できる端末を持つ人であれば、誰でも読み取ることができます。無料無線LANサービスや野良アクセスポイントによるサービスのうち、暗号化されていないものはこのリスクが極めて高いと言えます。これに対して暗号化されている有料無線LANサービスは安全性が比較的高いといえますが、暗号化キーを不特定多数のユーザで共有している場合には、暗号化キーを知っている第三者に通信内容を盗聴される可能性が残ります。SSID の暗号化キーをユーザ毎に設定することは困難なため、有料無線LANサービスの場合でも、盗聴の危険性を完全に回避できるとは言えません。

そのため無線LANサービスを利用する場合には、たとえアクセスポイントで暗号化されている場合でも、盗聴の可能性を常に意識すべきです。盗聴を回避するにはアクセスポイントの暗号化機能だけではなく、VPN通信やサーバの暗号化機能を利用することを推奨します。例えば公衆無線LANサービスを使用する際は必ずVPNに接続する、Webサイトにアクセスする場合には、SSLで暗号化されたページ(URL の冒頭が「https://」となっているページ)に限定する、といったことを心がけることで盗聴のリスクを削減できます。メールの送受信を行う可能性がある場合には、設定時にSSL接続方式を選択するといいでしょう。

第2はアクセスポイントのなりすましです。悪意のある第三者が、正規サービスと同一のSSIDと暗号化キーを設定したアクセスポイントを設置し、ここへのアクセスを誘導、通信内容を盗聴します。有料無線LANサービスのように、ユーザ個人を特定できる認証を行っている場合には、この段階で異常を検知できる可能性が高いため、被害を防ぎやすいと言えます。しかし不特定多数のユーザが自由に利用できるサービスでは、正規アクセスポイントとなりすましアクセスポイントとの見分けが難しいため、被害を避けるのは困難です。

そして第3が、アクセスポイントの乗っ取りです。これによってアクセスポイントの設定が変更されると、セキュリティ上の問題が生じる可能性があります。

例えばアクセスポイントのほとんどは、接続した端末間の通信を禁止する機能を持っており、多くの場合デフォルトでこの機能が有効になっています。しかしアクセスポイントを乗っ取られてこの設定を無効にされると、端末間の通信が可能になり、他のユーザから端末にアクセスされる危険性が生じます。またアクセスポイントからアクセス可能なネットワークの設定を変更されてしまえば、内部システムにハッキングされる危険性もあります。

この問題を回避するには、アクセスポイントの脆弱性対応や管理者用パスワードの適切な設定及び更新といった、堅牢化への対応が必要になります。

野良APの増大が難しくするなりすましAPの発見、通信品質維持で野良APの抑制を

このように公衆無線LANサービスには複数のセキュリティリスクがありますが、近年特に大きな問題になっているのが、アクセスポイントのなりすましです。Wi-Fiルータやスマートフォンのテザリング機能の利用が広がり、野良アクセスポイントが増えたことで、なりすましアクセスポイントを見分けることがさらに難しくなっているからです。

公衆無線LANサービスが利用できる場所で野良アクセスポイントが増えてしまうのは、公衆無線LANサービスのアクセス品質が十分でないことが大きな要因です。公衆無線LANサービスの品質が期待した程ではなければ、ユーザは自分自身のWi-Fiルータやスマートフォンのテザリング機能を利用して、通信環境を確保しようとします。その結果、電波干渉によって通信環境がさらに悪化し、より多くの野良アクセスポイントが立ち上がるという、悪循環に陥ってしまうのです。

最新技術で公衆無線LANサービスの通信品質を高めることで、この問題も解決可能になります。

その1つがビームフォーミングです。アクセスポイントが端末の位置を認識し、その場所に対してだけ強い電波を発することで、電波干渉の回避と通信品質の維持を実現します。また電波干渉の多い場所では、最適チャネルへの自動切り替え機能も効果を発揮します。端末数の多い環境では、この2つの技術の組み合わせによって、高品質なアクセス環境を確保しやすくなります。

シスコの無線LANアクセスポイントは、すでにこれらの技術を搭載しており、電波干渉を自動的に回避できるようになっています。4年前のロンドンオリンピックでは、合計250ヘクタールの9会場に 1,800 台のアクセスポイントを設置することで同時接続数20万を達成、100%の安定稼働を実現しました。シスコの無線LANアクセスポイントは今年開催されたリオオリンピックでも活用されており、ロンドンオリンピックを超える成果を出しています。

cisco insight ロンドンオリンピック

またアクセスポイントの統合も、電波環境の改善に貢献します。現在ではほとんどの公衆無線LANサービスがそれぞれ個別にアクセスポイントを設置していますが、これによって電波干渉が起きやすくなっているのです。これらを1台のアクセスポイントに統合すれば、よりクリーンな電波環境を実現できます。このような取り組みを進めている事例としては、成田国際空港が挙げられます。成田国際空港自身がシスコのアクセスポイントを設置し、空港に入居している航空会社やテナントが独自にアクセスポイントを設置することを制限することで、電波環境の悪化を防いでいます。

cisco insight 無線LANの統合

最後に無線LANセキュリティに関する心得をまとめておきます。
まずユーザ側は、非暗号化通信による盗聴リスクを常に念頭に置いておきましょう。たとえアクセスポイントの暗号化機能が有効になっていたとしても、その暗号化キーを知っているユーザが他にもいれば、盗聴の危険性はゼロにはなりません。VPN接続を行う、SSL対応のWebページやメールサービスのみにアクセスする、といった対策を取ることで、リスクの低減が可能になります。

一方、サービス提供者側はアクセスポイント乗っ取りを防ぐため、アクセスポイントの脆弱性対応やパスワード管理を徹底すべきです。また、安定した接続環境を提供できるアクセスポイントを採用することでユーザの満足度が高まり、それが野良アクセスポイントの減少にもつながることを心得ておきましょう。

このようにユーザ側、提供者側のそれぞれがリスクを正しく認識し、適切な対応を行うことで、盗聴の被害を回避でき、なりすましアクセスポイントの発見も容易になるのです。