以下の内容は、総務省が平成19年12月に作成した無線ランの安全性について記した物になります。
一般質問の際の回答者側の参考になればと思い調べましたので、関係者の皆様は特にご覧いただければと思います。
1 無線LANを安心・安全に使うためには
(1) 無線LANの利用にあたって
近年、無線LAN は機器の低価格化と手軽さを背景に益々普及しており、家庭やオフィスにとどまらずあらゆるシーンで利用されることが期待されています。一方で、無線LAN を正しく利用しないことに起因する問題も数多く報道されています。
本書では、無線LAN のセキュリティの問題点について理解を深め、適切な対応をとることにより、無線LAN の特性を最大限に活用し、便利に安心・安全に利用するための方策等について述べます。
(2) 無線LANを適切に利用しないと生じる脅威
無線LAN の代表的なセキュリティ脅威として、「通信内容の傍受(盗聴)」、「無線LAN の不正利用」、「無線LAN アクセスポイントのなりすまし」があります。以下、それぞれの脅威について事例を交えて解説します。
ア 通信内容の傍受(盗聴)
無線LAN でやりとりされるデータは、電波を利用して送受信されます。そのため無線LAN のセキュリティ技術を適切に利用しないと正規の利用者の目の届かない所で容易にデータを傍受することが可能となってしまいます。通信内容が傍受されることにより、・ ID、パスワードなどの個人情報・ メールの内容等の通信が盗み見られる可能性があります。
<事例 通信内容の傍受(盗聴)1>
S さんが仕事の続きをするために自宅でノートパソコンを起動させたところ、他の人の無線LAN の電波を受信していることを発見。最近パソコン雑誌に載っていたLAN 上の通信内容を確認するソフトをインストールして起動したところ、近- 2 -所のE さんのメールアカウントとそのパスワード
を偶然傍受することができた。S さんは自分のパソコンのメールソフトをE さんの設定にしてEさんのメールを受信し、先週Eさんが最近温泉に行ったことを知った。
翌日、S さんと雑談している中で、E さんは近所では誰にも話していない温泉の話をS さんが何気なく話題に出したので驚き、メールが覗かれていると思った。E さんは、温泉のことだったので驚いただけで済んだが、他の人には知られてはいけない重要な秘密だったとしたら、と身も凍る思いをした。
問題点
E さんが適切に無線LAN のセキュリティ設定を行っていなかったため、S さんが容易にE さんのメールを見ることができた。
<事例 通信内容の傍受(盗聴)2>
商店Aでは、顧客が商品を購入した際に利用するPOS システムに無線LAN を利用することで、作業性の向上と季節毎に行われるレイアウト変更時の作業量の減少を実現。無線LAN の導入により当初目的として掲げていたオペレーションコストの削減を実現した。
しかしながら、ある日商店Aのお得意様の個人情報が流出していることが発覚した。さらに調査を進めたところ、○月△日×時ごろ商店A でクレジットカードを利用して買い物をした複数の顧客にクレジットカードでの心当たりのない高額物品の購入などのトラブルが頻発していることも発覚した。
その後の調査で、商店Aで利用していた無線LAN はセキュリティを未設定のまま利用しており、そこからPOS 情報が流出したことが明らかとなった。
- 3 -
問題点
商店A が適切に無線LAN のセキュリティ設定を行っていなかったため、個人情報が流出しこのような事件が起こった。顧客に大きな損害を与えてしまうと同時に、商店A にとっても信頼の低下につながった。
* POSシステム(Point Of Sales システム)
店舗等で商品を販売する毎に商品の販売情報を記録し、集計結果を在庫管理やマーケティングの材料として利用するためのシステムイ 無線LAN の不正利用セキュリティ設定を行わない無線LAN アクセスポイントは、利用可能範囲にあるどんなパソコンからの接続も許可します。このことは、無線LAN を用いて他の人が通信を行うことも可能であることを意味します。
無線LAN を不正利用されることにより、・ メール等を他人に送受信される(なりすまし)
・ ホームページの内容を書き換えられる(改ざん)・ パソコン・サーバ上の個人情報の流出(情報漏洩)
・ コンピュータウィルスの感染によるシステム破壊(破壊)・ ウィルスの配布やDoS 攻撃の踏み台にされる (踏み台)の可能性があります。
* DoS攻撃(Denial of Services攻撃)
ネットワークを通じて攻撃する手法。攻撃の対象物に大量のパケットデータを送りつけるなどして、使用不能に陥らせたりする。
<事例 無線LAN の不正利用>
K さんが営業の合間にコーヒーショップでいつも持ち歩いているノートパソコンを開き午後の予定を確認していたところ、ノートパソコンに内蔵している無線LAN がネットワークに接続していることに気づいた。ネットワークの詳細を確認するとコーヒーショップの向かいにある、T 社のネットワークであることがわかった。
- 4 -
その数日後、T 社のホームページが改ざんされるとともに、T 社から顧客に対して無数のウィルスメールが送信される事件があった。K さんはこのことをニュースで知り、きっとT 社の無線LAN の運用が適切でないからこのような事が起ったと思った。
問題点
T 社が適切に無線LAN のセキュリティ設定を行っていなかったため、何者かに無線LAN を不正利用され簡単に社内ネットワークに侵入された。今回の事例では、ホームページの改ざんとウィルスメールの送付という被害だったが、社内の機密情報など重要データが流出し、さらに被害が拡大する可能性があった。
ウ 無線LAN アクセスポイントのなりすまし従来の無線LAN 端末は、接続先の無線LAN アクセスポイントが本来接続すべき正当な無線LAN アクセスポイントであるか否かを確認することができません。このため、近隣に同一の設定を施した不正無線LAN アクセスポイントが設置され、気づかずに重要な情報を不正な無線LAN アクセスポイントのネットワークに、搾取されてしまう可能性があります。
<事例 無線LAN アクセスポイントのなりすまし>
S さんは無線LAN 機器を購入後、電源を入れたら何も設定せずに使えたのでそのまま使っていた。最近、無線LANの接続が不安定になることがあったが、無線だから仕方ないと思いそのまま利用していた。
ところがある日からS さんのメールには多くの広告メールが届くようになり、自宅にいたずら電話もかかってくるようになった。どうやらS さんの個人情報が流出したらしい。S さんは原因が良くわからず、インターネットに詳しい友人に相談することにした。
いろいろ調べてもらった結果、無線LAN を経由してS さんの個人情報が流出し- 5 -たことが明らかになった。無線LAN が不安定だった理由は近隣のX さんがS さんの無線LAN アクセスポイントと全く同じ設定にしてS さんの無線LAN アクセスポイントになりすましていたのである。X さんが不正にS さんの個人情報を流出させたらしい。S さんはX さんのなりすました無線LAN アクセスポイントへ個人情報を送信していたのである。
問題点
Sさんが適切に無線LAN のセキュリティ設定を行っていなかったため、X さんが、無線LAN アクセスポイントのなりすましによりSさんの個人情報を搾取し、それを悪用した。
このように「通信内容の傍受(盗聴)」「無線LAN の不正利用」「無線LAN アクセスポイントのなりすまし」は、無線LAN 設置者が被害を受けることは勿論、多くの人に被害が及ぶ可能性もあり、厳重な注意を払って無線LAN を利用する必要があります。
なお、通信内容を傍受しその存在や内容を漏らしたり窃用すること、他人のID・パスワードを無断で使用することは、電波法や不正アクセス行為の禁止等に関する法律により禁止されており、触法した場合は1 年以下の懲役又は50 万円以下の罰金に処せられることがあります。
