Overview
Wi-Fiセキュリティとは、無線LAN(Wi-Fi)環境における通信の暗号化、認証、アクセス制御などのセキュリティ対策の総称です。Wi-Fiは電波を利用するため、有線LANと異なり、電波の届く範囲であれば物理的な接続なしに通信を傍受される可能性があります。この特性がWi-Fi特有のセキュリティリスクを生み出しています。
Wi-Fiの暗号化規格は、WEP → WPA → WPA2 → WPA3と進化してきました。初期のWEP(Wired Equivalent Privacy)は深刻な脆弱性が発見され、数分で解読可能であることが判明しています。現在はWPA2(Wi-Fi Protected Access 2)が最も広く使用されていますが、2018年にはより強力なWPA3が策定され、徐々に普及が進んでいます。
企業環境では、IEEE 802.1X認証とRADIUSサーバーを組み合わせたWPA2/WPA3-Enterpriseが推奨されます。一方、家庭や小規模オフィスでは事前共有鍵(PSK)方式のWPA2/WPA3-Personalが一般的です。
リモートワークの普及やBYOD(個人端末の業務利用)の拡大に伴い、カフェや空港などの公衆Wi-Fiを業務で利用する機会が増えています。公衆Wi-Fiは暗号化されていない場合が多く、中間者攻撃(MITM攻撃)やEvil Twin攻撃のリスクが高いため、VPNの利用が不可欠です。
Details
Wi-Fi暗号化規格の進化
- WEP(1997年):最初のWi-Fi暗号化規格。RC4暗号アルゴリズムを使用するが、IV(初期化ベクトル)が24ビットと短く、鍵の再利用が容易に起こる。現在は数分で解読可能であり、使用は厳禁。
- WPA(2003年):WEPの脆弱性を緩和する暫定規格。TKIP(Temporal Key Integrity Protocol)により鍵管理を改善したが、RC4暗号を継承しているため根本的な解決には至らなかった。
- WPA2(2004年):AES-CCMP暗号を採用した本格的なセキュリティ規格。長年にわたり安全とされてきたが、2017年にKRACK攻撃の脆弱性が発見された。現在も広く使用されている。
- WPA3(2018年):最新のWi-Fiセキュリティ規格。SAE(Simultaneous Authentication of Equals)による鍵交換で、オフライン辞書攻撃への耐性を大幅に向上。前方秘匿性(Forward Secrecy)をサポートし、セッション鍵の漏洩リスクを低減。
Wi-Fiに対する主な攻撃手法
- Evil Twin攻撃:正規のアクセスポイントと同じSSIDを持つ偽のアクセスポイントを設置し、ユーザーを誘導して通信を傍受する攻撃。特に公衆Wi-Fi環境で頻発する。
- KRACK攻撃(Key Reinstallation Attack):2017年に発見されたWPA2の脆弱性。4ウェイハンドシェイクの再インストール処理を悪用し、暗号化された通信を復号できる。
- Deauthentication攻撃:偽の認証解除フレームを送信してクライアントをアクセスポイントから切断する攻撃。サービス妨害や、再接続時にEvil Twinに誘導する目的で使用される。
- パスワードクラッキング:WPA2-Personalの事前共有鍵(PSK)を、キャプチャした4ウェイハンドシェイクに対する辞書攻撃やブルートフォース攻撃で解読する手法。弱いパスワードは数時間で解読される。
企業向けWi-Fiセキュリティ(WPA2/WPA3-Enterprise)
企業環境では、個々のユーザーに固有の認証情報を使用する802.1X認証が推奨されます。EAP(Extensible Authentication Protocol)の認証方式としては、EAP-TLS(クライアント証明書認証)が最も安全とされ、EAP-PEAP(パスワード認証)やEAP-TTLS も広く使用されています。RADIUSサーバー(FreeRADIUS、Microsoft NPS等)と連携し、ユーザーごとのアクセス制御とログ管理が可能です。
Security Measures
- 01WPA3への移行:可能な限りWPA3を採用し、WPA3非対応のデバイスがある場合はWPA2/WPA3の移行モードを使用する。WEPおよびWPAは即座に無効化する。
- 02強力なパスワードの設定:WPA2/WPA3-Personalを使用する場合は、最低20文字以上のランダムなパスフレーズを設定する。辞書に載っている単語の組み合わせは避ける。
- 03企業ネットワークでは802.1X認証を採用:共有パスワード(PSK)ではなく、ユーザーごとの認証情報によるWPA2/WPA3-Enterpriseを導入する。退職者のアクセス即時無効化が可能。
- 04ゲストネットワークの分離:来客用のWi-Fiネットワークを社内ネットワークから完全に分離し、ゲストが社内リソースにアクセスできないようにする。
- 05不正アクセスポイントの検知(WIDS/WIPS):無線IDS/IPS(WIDS/WIPS)を導入し、Evil TwinやRogue APなどの不正なアクセスポイントを自動検知する。
- 06公衆Wi-Fi利用時のVPN必須化:外出先で公衆Wi-Fiを使用する際は、VPNを必ず使用するよう社内ポリシーを策定し、技術的にも強制する仕組みを整備する。
Incidents
📋 KRACK攻撃の発見(2017年)
2017年10月、ベルギーの研究者Mathy Vanhoef氏がWPA2プロトコルの脆弱性「KRACK(Key Reinstallation Attacks)」を公表しました。この脆弱性はWPA2を使用するほぼすべてのデバイスに影響し、攻撃者が暗号化された通信を傍受・改ざんできる可能性がありました。この発見はWPA3の策定を加速させる契機となりました。
📋 GRU(ロシア軍参謀本部情報総局)によるWi-Fiハッキング(2018年)
2018年、オランダ当局がロシアの情報機関GRUのメンバー4名を逮捕しました。彼らはOPCW(化学兵器禁止機関)本部の駐車場に車両を停め、車内に設置したアンテナとWi-Fiハッキング機器を使ってOPCWの無線ネットワークへの侵入を試みていました。国家レベルの攻撃者がWi-Fiの物理的な特性を悪用した象徴的な事件です。
📋 公衆Wi-Fiを利用したEvil Twin攻撃(2024年 オーストラリア)
2024年、オーストラリアの複数の空港や国内便機内で、正規の無料Wi-FiになりすますEvil Twin攻撃が実行されました。容疑者は偽のアクセスポイントを設置し、接続したユーザーをフィッシングページに誘導してメールやSNSの認証情報を窃取しました。公衆Wi-Fiの危険性が改めて世界的に注目された事例です。