ネットワークセキュリティ
財団法人北陸経済研究所総括研究員 松永均


 NIKKEI-I-NETの今年の10月9日号口止めされた住基ネットのセキュリティーには、このように書かれている。

 セキュリティーのぜい弱性を放置すれば最悪の結果が待っていることもある。これまでの経験からぜい弱性を1年以上放置した場合は、システムの同じ欠陥を誰かが発見する。ぜい弱箇所を発見した者の中には、換金することを目的としている者も多く、知名度の高い企業から順番に指摘していくケース、コンサルタント等を介在し、直接経営者に伝えるケースもある。ネット総会屋のようなトラブルも、今後は増えていくだろう。

 この指摘は、住基ネットだけの問題ではなく、ネットワーク一般について言えることである。



無線LANのセキュリティについて

 最近の無線LANの普及は目覚しいものがある。確かに無線LANは屋内の配線工事が不要であり、部屋の配置替えなどの際に生ずる、コネクタの接触不良などが起きにくいなど、使い易い面がある。が、その問題点は以外に知られていない。


1.踏台
 なんの制限もかけていない無線LANは外部から接続可能になっている。会社の中にある無線LANに道路からアクセスすることが出来ることがある。こういうところを使って、大量の広告メール(いわゆるspam) を送ったり、あるいは悪意を持ってvirus付きのメールを第3者に送ることが可能になる。被害者から見れば、その無線LANからメールが出ているとしか見えないため、メールの量の多さによって営業妨害を受けたなどの場合、LANの持主に対して損害賠償を要求する可能性さえある。

現在、無断使用を制限する法律は存在していない。設置者が無断使用を制限する意思表示をするための法的ルールも存在していない。無断使用されないためには管理者が適切な設定をするしか無い。

blueMLのSubject: [blue:18604] Re: クアラルンプールで無線LANにおいて、北陸無線データ通信協議会の小西氏は、

 Freeは考えない方が宜しいかと。テロ集団や暴力団に利用されてしかるべきものですので。日本という国の一般レベルのセキュリティ意識の低さにはさじを投げています。
(以前使えていた富山空港のFreeSpotのサービス停止について)
 当然の判断だと考えたいですね。

 と述べている。


2.盗聴
 無線LANは部屋の外まで電波が漏れるので、外部から接続可能になっている、すなわち、対策を取っていない無線LANは簡単にデータ漏洩を引き起こすことになる。たとえ有線でも、外部からアクセス可能なマシンにデータを置くのは論外ではあるが、無線LANの場合一層危険である。
 また、ウェブ検索とメールにしか使わない端末であっても、盗聴によりアクセス傾向が解析されれば、その会社がどのような分野を調査しているかが明らかになり、商品の開発方針や経営方針が漏洩することもある。
 メールが読まれてしまうことの危険性は言うまでもないであろう。
 ある百貨店で、POSとコンピュータの間が無線で接続されていて、かつ、データ転送が暗号化されていなかったため、売上の情報が漏れる状態になっていたことがある。
 なお、このような問題点を指摘する際に問題となることがある。

電波法第59条(秘密の保護)
 何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信(電気通信事業法第4条第1項又は第90条第2項の通信たるものを除く。第109条において同じ。)を傍受してその存在若しくは内容を漏らし、又はこれを窃用してはならない。

 ここで「存在」をも漏らしてはいけないことになっている。つまり、データが漏れていることを気付いた人物が、善意で注意した場合でもこの条文にかかる可能性がありえる。
 詳細については、たとえば、電波法第59条の解釈と解説などに詳しい。
 無論、この解釈は厳密に過ぎるという立場もある。 実運用としてはそのようなことは「現在のところ」ない。で、なければ安全性の調査そのものが出来なくなってしまう。


3.混信
 近所の会社でも無線LANを使っていると、電波の干渉、混信がありえる。 電波は14チャンネルあるが、隣のチャンネルは干渉があって使えない。近傍はいくつもあるので、結局1ヶ所で同時につかえるのは3チャンネルおき (計4チャンネル)。

 近隣でも無線LANを使っている場合、誰がどのチャンネルを使うのか、調整が必要になる。
 都会では、すでに過密状態で、新規参入が難しい状態になりつつある。
 一部のメーカーの機種は電波が強く、必要以上に電波が届く可能性がある。これは、社内で届きにくい場所を減らす効果はあるが当然、 他社との干渉を起こしたり、盗聴の容易さに結びつく可能性も大きくなる。

 MS Watchの2003年3月14日の記述に、無線LAN付きのルータを使用していた「隣家のアクセスポイント」に知らずのウチにアクセスしていたという話が載っている。
 ルータ側が特に制限等をかけていなかったために、 デフォルトのままのANY設定にしていたら、より強度の高い隣家のアクセスポイントに繋がってしまっていたということのようである。

 また、同ページの3月4日の記事によれば

  1. 大半のユーザがセキュリティ機能を使っていない。
  2. 現状のセキュリティ機能は、原理的に弱い。
  3. ESSIDやパスワードなど簡単に推測できるものを使っているので、簡単に破られる。

というのが実状です。

  1. は、ユーザがセキュリティに無知なことと、工場出荷状態がセキュリティオフだから。これはセキュリティをオンにして出荷すると、すぐにはつながらず、メーカーや量販店のサポートがパンクしそうなのでイヤがっている。 
  2. は、WEPの40bit(64bit)の暗号はすぐ解ける。104bit(128bit)もかなり簡単に解ける。出来が悪いから、そういうものだとしか言いようがない。詳しいことは、後述の日経ネットワークセキュリティを読んでください。 
  3. は、運用が悪いということ。推測されやすいものは、どんなにセキュリティが原理的にしっかりしても、それを一挙に崩壊させる鍵です。
  4. 弁護士の話は、無線LANを使うリスクは負わないとだめと。企業で無線LANを設置してそこから個人情報などが漏れたらその企業は使用者責任などを負うことになって損害賠償などは請求されるわけです。 
  5. 警察庁は、セキュリティ対策をしていないアクセスポイントは法律では守れない。つまり、自業自得だということです。当たり前ですが。 
  6. 総務省は、セキュリティ対策の強化は産業界が望まないだろうといって、腰が引けてるね。経済産業省は、善意の第三者が脆弱性を通報する窓口を作ったり、通報を受けてもセキュリティ対策を放置している企業名を公表するといった制度を作りたいと述べてますね。

ということである。

 有線では盗聴は無線に比べれば難しいし、実行した場合不正アクセスとして法による取り締まりの対象になる。一方、無線の傍受を不正アクセスと看倣すのは難しい。

フリースポットの危険性(有線、無線を問わない)
 フリースポットでは、サーバにトロイの木馬がしくまれている可能性を忘れてはいけない。実際、インターネットカフェにしかけられたkey loggerによって口座番号と暗証番号を知られて現金が盗まれる事件が実際に何件も発生している。
 フリースポットやインターネットカフェはウェブ検索には便利かも知れないが、プライベートなデータをこのような場所で扱うべきではない。



無線 LAN の対策

・盗聴、無断使用
  • WEPをかける。(64ビット程度では現在のパソコンでも高性能なものを使えば、数分で解析されてしまう。128ビットを使う必要がある。) いくつかの調査で、WEP率が25%程度という報告がある。
  • MACアドレスによる接続制限をかける。接続出来るマシンを限定するわけである。 しかし、MACアドレスを詐称することも可能なので、これだけでは万全では無い。
  • ESSIDの設定を他人にはわかりにくいものにする。会社の部課名などをそのままESSIDとして採用すると、他から推測されてしまう可能性が高くなる。
  • データの暗号化。盗聴されても中身が知られなければよい。 (が、アクセス傾向などに関しては暗号化は無理。アクセスしたあとのデータの内容に関してはSSLを使っていれば一応大丈夫。)
  • 購入時にWEPやESSIDが設定されている機種もあるが、売った側にその設定は知られているわけであるから、必ず変更が必要である。 先程のルータの件ではESSIDが誰にでも推測出来るものであった。 また、昔ある会社が売っていたUNIXマシンの納入時の設定はrootのパスワードが総て同一だったことは有名である。他社のルータやアクセスポイントも同様であると考えた方が良いであろう。
  • セキュリティに金をかけている企業は、ビルの窓ガラスには電磁遮蔽フィルムを貼ったりしているとのことである。

    対策はどれか1つをすればいいというものではなく、複数の対策を全てほどこすべきであろう。また、WEPやESSIDは一度設定すればいいものではなく、定期的に書き換える必要がある。
・干渉

  誰がどのチャネルを使うか、近隣との調整を行う機関が必要ではないか。 NPO法人が適当かも知れない。 しかし、調整機関が権力を持つことになるので、なんらかの対策が必要かと思われる。
 しかし、単なる妨害電波という古典的なDoS攻撃の危険性もあるので、IEEE802.11のレベルだけ考えてもあまり意味はないであろう。
 また、IEEE802.11aIEEE802.11gのように現在使われているIEEE802.11bよりも高速な規格が動き出しているが、高速なぶん、短時間のキャプチャで解析されてしまう可能性が高いので注意が必要である。

 ということで、究極の対策は、無線LANを使わないということになる。実際、社内での無線LANを禁止した会社の話をいくつも聞いている。
 なお、日経ネットワークセキュリティという日経BPのムックがあって、今年(2003年)の春頃に無線LANパニックという特集号が出た。 そのムックの冒頭に、ある百貨店でクレジットカード情報が平文で流れていて、それを知らせたあとの対応などが載っていた。



今後の課題

  ネットワーク関係の設定は難しいと感じる人が多い。 実際、現在のネットワークは片手間で設定出来るような状態にはなっていない。といって、社内にそれの専門家を置くわけにはいかない所が多いであろう。
 とすれば、外部のプロにアウトソーシングすることが必要になる。つまり、これを引き受ける商売が成り立つのではないだろうか。 ハードウェアやソフトウェアの納入業者にまかせるのではなく、セキュリティ専門で起業出来るのではないだろうか。 無論、セキュリティ関係の設定をする業者は守秘契約が必要となろう。

 Slashdot Japanという電子掲示板によれば、 総務省が無線LAN盗聴を禁止し、罰則を設ける法案を提出する模様とのことである。(情報源のasahi.comへのリンクは現在切れている。)これによれば、

 現行の法律では、携帯電話やPHSの電波は電気通信事業法によって傍受が禁止されているが、無線LANに関しては、電波法の対象で傍受が禁止されていない。(ただし、電波法でも、傍受した情報を第三者に漏らすことは禁止されている。) これに対し、傍受を禁止し罰則を科すようにするもので、電波法の改正法案となるとのこと。

 ただ、罰則の対象となるのは暗号化されているものに限り、暗号化されていないものの傍受には罰則を設けないとのこと。これは、暗号化情報の傍受に対して罰則を設けることにより、利用者に暗号化を促すのと、たまたま傍受してしまった場合を罰則の対象にしないためだそうだ。

  また、 日経の報道によれば、経済産業省は今年の8月6日、無線LANのセキュリティ基準を策定した。これの実体はJEITA(社団法人 電子情報技術産業協会)による無線LANのセキュリティに関するガイドラインである。内容はおおざっぱに

  • 無線LANの危険性を啓発するのはメーカの責任
  • 実際にセキュリティを保つべきはユーザの責任
ということである。

 前述のblue MLにおいて、小西氏は、

北陸総合通信局と市の情報政策課との会合をもちます。 私個人としては、無線LAN政策の転機としたいですね。無線LANに関する無知と無理解が蔓延している現状では勝手に使わせる事は止めさせなければならないというデータが揃いましたので。

と発言されている。

 などなど、一応国も民間も啓発や対策を取りつつあるところであるが、危険性は現存しているので、ただちに対策を取られることをお薦めする。


windowsの脆弱性

  ひんぱんに脆弱性が発見されるにもかかわらず、 セキュリティアップデートをかけずに放置されているマシンを多くみかける。これらのマシンがウィルスにかかると、当該マシンだけでなく、ネットワーク上の他の多くのマシンに迷惑がかかることを認識して欲しい。

1. ウィルス
 virus checkerを使う。 しかし、発見されてから、パターンがデータベースに登録され、そのパターンファイルをダウンロードするまでのタイムラグがある。つまり、ウィルスチェッカーがあるからといって安心は出来ないのである。
 Norton, McAfee, Trendo Microなどのような会社が発売している商品の他に、フリーなものもある。

2. ワーム(worm)
 この夏蔓延したブラスターのように直接ネットワークを通じてマシンに入り込んでくるワームと呼ばれるものがある。これらはメールの添付を開かないというだけでは対処出来ない。防ぐにはファイアウォールを適切に設定する必要がある。

3. spyware
 virus, worm以外に、spywareと呼ばれる物がある。 spywareの進入経路は、
  • フリーソフトや広告付きソフトなどと一緒に入る。商品として売られているプログラムにもスパイ機能が入っていた実例がある。
  • Webサイト上でActiveXを使って導入させる。
  • ブラウザのクッキーを使う。
などである。

 目的(スパイウェアが盗む個人情報)は、
  • Webサイトの履歴
  • Webサイトの表示時間
  • 住所やメールアドレス
  • 表示したバナー広告
  • よく使うファイル名
などである。

 これを防ぐためのフリーソフトには、 「Ad-aware」「Spybot S&D」 という2つの有名なものがある。なお、spybotはインストーラは英語であるが、インストールしてしまえば日本語が使える。Ad-aware はインストーラも日本語が準備されている。



windowsの脆弱性対策

 ではこれらの問題点について、どのように対策をすればよいのか。

 java, ActiveXなどは止める。cookieは確認するか使わないようにする。

 しかし、ActiveXを止めると、windows updateが出来ない。普段閉じておいてwindows updateのときだけ開けるという方法もあるが、 そのわずかな対策中の時間にも感染することがあるので、onlineでのupdateは難しいことがある。今夏のBlasterの蔓延がそのいい例であろう。

 ではどうするのか、他のOS(MacやLinux,FreeBSDなど)で必要なファイルをダウンロードして、CD-Rなどに保存し、windowsマシンをネットワークから切り離した状態で、そのCD-Rを使ってupdateしてからネットワークに接ぐという方法もある。 (が、それでもパッチがまだ出ていない穴をつかれる可能性はある。)

 この方法ならば、複数台のマシンがあったときに、それぞれがパッチデータをダウンロードする必要もなくなるので、ネットワーク負荷も軽減するというメリットもある。

 ただ、他のOSを載せたマシンを別途準備するのは、職場によっては難しいことであろう。

 外部に向かって開いているサーバがある場合、使わないポートは塞ぐこと、使わないサービスは立ち上げないことが必要である。 XPよりも以前のwindowsでは、何も設定しないとほとんどのサービスが自動で立ち上がり、ポートが全て開いている傾向があるので、ネットワークに接ぐ前に、これらを使わない状態に設定する必要がある。

 セキュリティ向上の為にというページの中程にwindowsで使える各種のセキュリティ関連プログラムの一覧がある。virus対策やspayware対策のプログラムもある。
 
 但し、virus, worm, spyなどの対策プログラムと称するもの、それ自体がvirusだったりspy programだったりする可能性があることに気をつける必要がある。

 知らない人からメールで送られてきた、この種のものはまず、そういう疑いを持った方がよい。

 メーリングリストや、掲示板などで調べて、信頼出来るものを、(定評のあるものを。)しかし、偽物をダウンロードさせられる可能性もある。

 md5sumなどによるチェック、同一ページにあるものはそれ自体偽の可能性があるので、別経路で入手すべきであろう。

 複数のものを入れて相互にチェックするのも良い方法かも知れない。但し、virus checkerなどは同時に2つ使えないことがあるので注意が必要である。

 商品であろうと、フリーなソフトウェアであろうと、使用した結果については誰も責任は取ってくれない。最終的な責任はそのソフトウェアの利用者にある。

 といって、対策をとらずに放置しておいた結果、コンピュータの中のファイルが盗まれたり、改竄されたり、消されたりしても、責任はそのコンピュータの使用者にあることは当然であろう。

 つまり、わからないからといってそのままにしておくことは出来ないわけである。とすれば外部のプロに頼む必要があることは明白であり、利用者がそのことを納得すればセキュリティ関連は今後商売として成り立つものと思われる。 現在の日本では生活インフラはほぼ整った。情報インフラが都市部を中心に整いつつある。これはいずれ地方の末端まで整備されるであろう。情報が各家庭にまでなだれのように取り込まれる時代が来る。

 そうなったときに、的確な判断力や常識を保つためにも、教育は必須であろう。

 ワードプロセッサの使い方や表計算プログラムの使い方がIT教育ではない。

 インターネット上には「なりすまし」などの危険性があること、ネットワーク上にあることをなんでも信じてはいけないこと、その他のセキュリティなどこそが、初等教育として望まれるのではないか。そのために、ネットワークの仕組みを解説する必要があるかも知れない。

 初等教育に限った話ではない。 現在、コンピュータスクールなどではワープロや表計算のことしか教えていない。そうではなく、セキュリティを含めた本当の意味のネットワークリテラシーを教える学校が必要なのではないだろうか。



追記

 このページを読んだかたからアドバイスがありましたので、追記します。

 128bitのWEPは、現在のところ簡単に破ったとされるツールは確認されておらず、128bit のWEPを破るには相応の設備が必要であり、WEPが暗号として使い物にならないということはない。

 アメリカ国務省の標準技術局(NIST)が進めていた次世代「共通鍵暗号」標準化プロジェクトで、新しいコンピュータ通信向けの暗号化標準として採用された、AES(Advanced Encryption Standard)と呼ばれる方式がある。

 このAESが塔載されていれば、家庭や零細企業では認証システムまでは必要ではない。中企業以上の場合は802.1x等の認証システムが必要になるであろう。
 小企業の場合、最も中途半端な立場に置かれるため、コンサルティングが必要になると思われる。

 最近 出てきた802.11aや802.11gはスピードは速いのだが、無線信号の特性上干渉に弱い。そして、この規格が使っている周波数はRFIDや電子レンジも使っている。
 そのため、これらとの干渉が起きる可能性があるので、当分は802.11gが公衆無線LANでは使われる事は無く、802.11bが使われるであろう。

 本文にも触れたように、「電波政策ビジョン」で、「無線LANセキュリティ確保等の推進」が答申されており、事実上国策となっていることに留意して下さい。


謝辞

  無線LANについては、北陸無線データ通信協議会の小西氏に多大なヒントをいただいた。記して謝意を表する。

 なお、小西氏の電波政策ビジョン(素案)に対する意見書(PDF)には是非目を通して欲しい。


用語集

本文に出てきた用語の一覧。
LAN Local Area Network
BLUE Business Linux Users Encouragement
Linuxをビジネスで使おうとする人達の連絡に使われているメーリングリスト。
POS Point of Sales
売場のデータを実時間で、中央のコンピュータに集めるシステム。商品の売れ具合を客層、時間帯などで解析することにより、より効率的な仕入れ管理を行うことなどが目的となる。
ルータ  Router
ネットワーク同士を接ぐための機器。データを目的地に送り届けるために、そのデータをどこへ送ればいいのかルーティング(routing)をするので、この名前で呼ばれる。実際にはルーティング以外にプロトコル(規約)の変換なども行なう。LANをインターネットに接ぐためには、LANのプロトコルをインターネットのプロトコルに変換することが必要となるなど、ルータの仕事は多い。
デフォルトのままの
ANY設定		 ESSIDの設定のさいに、ANYと設定するとESSIDのチェックをせずに誰でも接続出来るようになる。
SSID Service Set Identifier
無線LANで特定のネットワークを指定するための識別名。
ESSID Extended Service Set-IDentifier
SSIDと同様に使われる。
WEP Wired Equivalent Privacy
無線LANの標準規格IEEE 802.11bで定められたセキュリティ機能。アクセスポイントや無線LANカードに設定したパスワード(WEPキー)をもとに、送受信データを暗号化する。
トロイの木馬 プログラムに仕込まれて、内部の情報を外部に持ち出す仕組み。ホメロスの詩「イリアス」に出てくるスパルタ対トロイアの戦争の際、木馬に兵を潜ませて敵の城内に入り込んだ故事による命名。
key logger キーボードからの入力を全てファイルに保存してしまうプログラムである。研究用としては、文字の頻度を調べたり、入力間隔を調べて人間工学の材料にするのであるが、全ての入力が記録されるためパスワードも残ってしまうことになり、非常に危険である。
MAC アドレス Media Access Control Address
SSL Secure Sockets Layer
Netscape社の開発による、暗号化通信のためのプロトコル(規約)。なりすましを防ぐための認証方式や、通信中のデータの暗号化を行なう。
root システムの設定に関する特権を持ったユーザー。windowsのAdministratorにあたる。unixでは普段の作業はroot以外のユーザーで行なわなければならない。
DoS Denial of Service
サービス不能攻撃。サーバに対して大量の要求を出すことにより、サーバの運行を停止させる攻撃。
IEEE802.11 b/a/g IEEE(The Institute of Electrical and Electronics Engineers, Inc.)による無線通信の規格。
JEITA 社団法人 電子情報技術産業協会(Japan Electronics and Information Technology Industries Association)
ActiveX Microsoft社の開発したweb上でプログラムを動かすための技術の総称。そのプログラムが悪意を持って組まれたものであった場合、被害を受ける。
クッキー ブラウザが管理している情報。サイトの訪問者を識別するために作られる。これにより、ウェブのサービスのカスタマイズが可能になる。
パッチ patch
継ぎ当ての意。プログラムの欠陥部分を修正することを、プログラムにパッチを当てると言い、そのための交換部分をpatchと呼ぶ。
ポート インターネット上でのサービスを区別するための番号。ネットワーク上を流れるデータにはこのポート番号がついていて、それを元にサービスが行なわれる。たとえば、Mailは25番のポートを使い、webは80番のポートを使うことが標準となっている。従って、必要のないポート番号を持ったデータを通さないことによって、ワームの侵入の可能性を低くすることが出来る。このような仕組などを組み込んだルータ用のプログラムをファイアウォールと呼ぶ。
md5sum ファイルの内容を128bitのチェックサムにしたものである。チェックサムというのは「ファイル内に含まれるデータの合計」であるが、単純に足し算をすると、順序が入れ変わったりしてもわからないので、桁ごとに重みをつけるなど工夫がしてある。 ダウンロードしたファイルのmd5sumを取った結果とそのファイルの本来のmd5sumを比較することで、ファイルが改竄されたり、壊れたりしていないことが確かめられる。md5sumが偶然一致する可能性は極めて低いことが理論的に示されている。






平成15年11月号