2020 年 11 月 16 日 Martin Lethbridge 著

先日ウォッチガードが公開したインターネットセキュリティレポートをお読みいただくと、公共の Wi-Fi を介したプローブ要求が増えていることがわかります。ペネトレーションテストツールの機能は高度化しており、サイバー犯罪者が Wi-Fi でやりとりされる情報を盗聴したり個人情報を窃盗したりすることがこれまで以上に容易になっています。

Hak5 が発売した初代 Mark I Pineapple を見てみると、これは主にコマンドライン Linux で駆動しておりプラグアンドプレイではありませんでした。しかし技術の進歩により最新の Mark VII は圧倒的に使いやすくなっています。さて、これは Wi-Fi ハッキングの増加を意味するのでしょうか。端的に言えば、その通りです。ハッカーが使用するのは Wi-Fi Pineapple だけではありません。その他にも、電源を入れれば Wi-Fi 信号を妨害できるもっと小さな機器もあります。

たとえば Pwnagotchi を見てみましょう。これは Wi-Fi ハンドシェイクを取得するだけの小型の装置ですが、あとで復号化され SSID パスワードが取得される恐れがあります。さて、あなたがセキュリティの専門家だとしたら、従業員と顧客を守るために一体何ができるでしょうか。

まず Wi-Fi を安全にする方法を確かめ、その上で適切に設定し、必要なユーザー以外がアクセスできないようにすることが必要です。そもそもなぜ Wi-Fi が必要なのか、今一度自問するべきです。利用するユーザーは誰でしょうか。企業は以前、ビジター用に限って Wi-Fi を利用させていましたが、現在では有線ネットワークが安全に設定されたオフィスでも、全従業員が Wi-Fi に接続できるようになっています。

新しい Wi-Fi 規格（Wi-Fi 6とWi-Fi 6E）が発表された今、Wi-Fi のセキュリティを向上させる方法も検討する必要があります。Wi-Fi 6 と WPA3 を使用することで、現在 WPA2 が抱える問題点の多くが解決されると期待されていますが、6 つの既知の Wi-Fi の脅威カテゴリの保護対策はいまだに提供されていません。

Wi-Fi の脆弱性を減らすため、ウォッチガードでは Trusted Wireless Environment 運動に参加し、Wi-Fi の世界的なセキュリティ標準を提唱するようにお願いしています。

WPA3 には一抹の問題があり、それは、すでに Dragonblood の脆弱性によって侵害を受けているという事実です。この脆弱性は WPA3 の最終仕様が市場に公開される前に発見されたもので、接続のセキュリティが WPA2 にダウングレードされ、既知の脆弱性が悪用されることが根本原因であるとウォッチガードは考えています。ネットワーク管理者はすべてのアクセスポイントをアップグレードするだけでなく、Wi-Fiに接続するすべてのクライアントデバイスをアップグレードし、WPA3 のみで純粋な Wi-Fi 6 ネットワークを実行できるようにするはずだからこれは問題にならない、と思われるかもしれません。しかしこのようなアップグレードを実現するためには、クライアントやアクセスポイントだけではなく、それ以外のネットワークインフラストラクチャも含めて、マルチギガビットイーサネット接続をサポートするようにアップグレードをする必要があります。

WPA3 は本当に私たちを守ってくれる奇跡のツールなのでしょうか？　筆者は、あらゆる脅威からユーザーを守る単一のセキュリティレイヤーは存在しないと確信していますが、セキュリティを高めるため、WPA3 を念頭において Wi-Fi ネットワークを設計することは妥当だと考えます。Wi-Fi における最大の問題は、ネットワーク管理者がすべてをデフォルト設定にして無線の出力を最大にしている場合です。これは、実際に必要な範囲以上に SSID を送信しているということです。駐車場にまで Wi-Fi ネットワークが届く必要があるでしょうか？　そのようなケースはほとんどないでしょう。またすべての AP で 24 時間 365 日、Wi-Fi ネットワークを届ける必要があるでしょうか？　繰り返しになりますが、ほとんどのビジネスにおいてその必要はありません。Wi-Fi ネットワークは本当に必要な時のみ有効になるようスケジュールしてください。ゲスト用 Wi-Fi のパスワードを最後に変更したのはいつですか？　誰しも、ゲスト用パスワードを使用して接続するネットワークを見たことがあるはずです。そして同じ場所を 1 年後に再訪した際、ノート PC が自動的に Wi-Fi に接続された、ということも珍しくないはずです。ゲスト用パスワードを口外しなくてよかった、と思うかもしれません。しかし、一度外に出て簡単なコマンドを打ち込むだけで「ThisIsTheGuestNetwork」というネットワークのパスワードはすぐに明らかになります。このような状況を避けるための最良の方法は、たとえば 4 時間しか使用できないバウチャーを使用することです。しかしどのようなシステムが対象でも、VLAN を使用してゲストと企業のトラフィックを分離し、企業のリソースの漏洩をブロックする、または別のインターネット回線を介して、ゲストトラフィックを完全に分離するように徹底すべきです。

他にも数多くありますが、上記のアドバイスをすべて実行しても、技術が使いやすくなって、より多くのユーザーがワイヤレス技術に移行すればするほど、Wi-Fi のプローブ要求を利用した攻撃もさらに高度になり、多くの場所で発生するようになることは否定できません。筆者はこれを不都合な真実の1つだと考えていいます。Wi-Fi が便利であり使用したいがために、問題があることを認めたくないというわけです。もし、多くのユーザーが Wi-Fi がどれほど脆弱であるかを知ったら大騒ぎになるかもしれません。「エドワード・スノーデン」が行ったように真実が暴露される瞬間が来るまでは、これは隠しておきたい不都合な秘密であり続けます。