Photo By Shutterstock
パソコンやスマホだけでなく各種IoT機器までが利用している無線LAN(Wi-Fi)。だが、通信内容の漏洩を防ぐためにこれまで使われてきた暗号化の仕組み「WPA2」に脆弱性が見つかるなど、信頼性が揺らいできた。
そんな中、Wi-Fiの標準化団体である「Wi-Fi Alliance」は、次世代のWi-Fiセキュリティ規格「Wi-Fi CERTIFIED WPA3」を発表。これまで課題といわれてきたIoTデバイスや公衆無線LANへの対応も強化されているという。
文:伊藤僑
IoTデバイスによるWi-Fi利用が急速に拡大
無線LAN(Wi-Fi)の利用が拡大している。中でも目覚ましい伸びをみせているのが、各種IoTデバイスによる利用だ。総務省の調査によると、2020年までには全世界で530億ものIoTデバイスがインターネット接続される見込みで、Wi-Fiを利用する製品も多いと予想される。
しかし、IoTデバイスの利用が拡大することで、攻撃者からのターゲットとなる危険性も増えてきた。知らないうちにネットワークカメラやビデオレコーダーが乗っ取られ、企業や政府機関などのウェブサイトを攻撃するための、ボットネットの一部に組み入れられていたという被害事例も数多く報告されている。ある日突然、「自宅のビデオレコーダーが有名企業へのDDoS攻撃に荷担していたことが判明し、責任を問われる」という悪夢のような事態が起こるかもしれない。
ネットに接続されていることを意識することなく、ネットワーク機器ならではの便利な機能を利用できるのがIoTデバイスの魅力だ。しかし、その容易さは、異常の察知を困難にしている面もある。
IoTデバイスの中には、各種設定情報などを表示するディスプレイが無いものも少なくない。また、セキュリティ上の問題点が見つかっても、パソコンやスマホのようにソフトウェアのアップデートで対応するサービスを行っていないものもある。
利用者にとっては、なんらかの解決策が望まれるところだ。
暗号化をしていない公衆無線LANサービス
公衆無線LANの利用が拡大していることも、Wi-Fiが抱える課題のひとつだ。
株式会社ICT総研の調査によると、2017年度における公衆無線LANサービスの利用者数は、前年比17%増の5,046万人と推計される。その内訳は、個人利用3,374万人、ビジネス利用408万人、訪日外国人利用1,264万人。東京オリンピックの開催に向けて訪日観光客の積極誘致を行っている国の施策もあり、2020年度には6,418万人に達すると予想されている。
公衆無線LANの利用で一番問題となっているのは、誰もが手軽に利用できるようにと、通信の暗号化を行っていないサービスが多いことだ。暗号化されないままWi-Fiを利用すると、同じネットワークを利用している悪意ある者に、入力したクレジットカード情報やパスワードなどの個人情報が丸見えになってしまう恐れがある。
各利用者が接続先との間で暗号化通信を設定できる「仮想プライベートネットワーク(VPN)」を利用すれば盗み見を防ぐことができるが、一般利用者にとっては敷居が高いのか、あまり利用されてはいない。
これまで主流だったWPA2に脆弱性が見つかる
厄介なことに、これまで多くのWi-Fi関連機器が採用してきた暗号化の仕組み「WPA2」にも脆弱性が見つかっている。
Wi-Fiの認証に利用される暗号化技術は「WEP」~「WPA」~「WPA2」と進化し、その度に暗号強度や堅牢性が強化されてきた。そのため、多くの人は現時点で最新のWPA2を利用していれば安心だと思っていた。
しかし、10年以上信頼されてきたWPA2にも昨年10月に脆弱性「Key Reinstallation Attacks(KRACK)」が見つかってしまう。KRACKを発見したベルギーの研究者マシー・ヴァンホフ氏の発表によれば、この脆弱性を悪用すれば、同じWi-Fiエリア内に悪意ある者がいた場合、通信の内容を読み取られたり、別サイトへ誘導される恐れがあるという。
既にWi-Fi関連機器メーカーやソフトウェア開発者からは、脆弱性を修正するファームウェアやOSが提供されているので、速やかに適応させておきたい。
なお、簡単な操作で、WEP、WPA、WPA2のパスワード解読を行うハッキングツールも存在することを頭の隅においておこう。オンラインバンクやオンラインショッピングなどの利用は、石橋をたたいて渡るがごとく慎重に行いたい。
次世代のWi-Fiセキュリティ規格「WPA3」
このような状況を受け、Wi-Fiの標準化団体である「Wi-Fi Alliance」は2018年6月25日、次世代のWi-Fiセキュリティ規格「Wi-Fi CERTIFIED WPA3」を発表した。この新規格では、個人利用を想定した「WPA3-Personal」と、企業向けの「WPA3-Enterprise」という2つのモードが用意される。
Wi-Fiの標準化団体である「Wi-Fi Alliance」のサイト。
WPA3は、これまで長く利用されてきた「WPA2」の進化版といえるもので、WPA2デバイスとの相互運用性を維持した上で、急増するIoTデバイス保護や暗号強度の向上などを図っている。
WPA3が採用するのは鍵長192bitの暗号アルゴリズムで、これまで以上に強度の高い暗号化を実現。Wi-Fi接続を行う際のパスワード認証を強固にする新たな仕組みを採用することで、オンライン辞書攻撃などへの耐性も高めている。
また、WPA3ではエンドユーザーが前もって設定しなくても、一意の暗号鍵を用いてアクセスポイントとデバイス間の全トラフィックを自動的に暗号化できるので、公衆無線LAN利用時の安全性を大幅に高めることができる。
具体的な仕組みはまだ公開されていないが、キーボードやディスプレイのないIoT機器でも容易に設定を行うことができるような仕組みも盛り込まれる見込みだ。
Wi-Fi Allianceによれば、2019年後半ごろからかなりの数のデバイスがWAP3に対応していくという。