総務省のサイバーセキュリティタスクフォース、「公衆無線LANセキュリティ分科会」が第3回目の会合を12月27日に行っており、資料3-1 「公衆無線LANセキュリティ分科会」論点整理の資料に過去のオリンピックにおける無線LANセキュリティの問題がよく整理されていましたので、この内容についてつぶやいてみます。
【検討事項1】現在の公衆無線LANのセキュリティ対策
①認証方法について
・公衆無線LANサービスの中には認証が無く、ログを一切残してないものもあるため、
(不正アクセス等が発生した際の)トレーサビリティに問題がある
・認証を導入する場合、認証サーバを維持・管理するコストが発生するため、
誰が負担するのか?
②暗号化
・暗号化されていない公衆無線LANサービスがある
・未暗号の公衆無線LANサービスを利用する場合、適切なセキュリティ対策を
実施している利用者が少ない
・安全と言われるVPNでも提供元が不明なVPNサービスもある
【検討事項2】セキュリティに配慮した公衆無線LANサービス
①利用者・利用者シーンに応じた公衆無線LANサービスの提供
・無料で提供されることも多い公衆無線LANサービス事業者側でセキュリティ対策
ができるのか、どこまで対応する必要があるのか
②公衆無線LANサービスの環境整備
・オリンピック・パラリンピック競技大会等のイベント開催時、公共施設や
スタジアム等においては、悪意のある者による偽アクセスポイントを設置される
おそれがある (論点整理資料より引用)
認証手段が無い公衆無線LANは・・・無償提供するのであっても、認証(ログ)は必要ではないでしょうか。暗号化もされず、あるいは暗号化方式が脆弱(WEP等)であり、認証もされないのだとすれば、それこそ不正利用(犯罪)を試みようとする側から見れば、足がつかない手段として重宝されるだけな気がします。
他国でもホテルであったり、空港などでは、認証(メールアドレス登録)のために数分のアクセスを許すパターンや、無料LANであっても最大30分提供、といった時間制約をかけるケースが多いかと思います。また無償LANで通信量が多い動画やTV電話などは利用できない設定にする事も重要かも知れません。多く(旅行者)の場合、テキストベースの通信が許可されれば必要最低限のやり取りが担保されるはずですので、多くの方が利用できるように公衆無線LANを設定するのが良いのではないでしょうか?
個人的には、キャリア通信も含めてになりますが、無線LAN通信ではパケ詰まりが多くてストレスを感じることが多いので、安定的な利用(可用性)と認証(安全性)のバランスを考えたサービス提供が欲しいなと思います。
東京オリンピック・パラリンピックでは、確実にWIFI環境は狙われると思われます。参考まで、要点整理資料では、過去のオリンピック・パラリンピック競技大会における公衆無線LANの状況(P10)がまとめてありましたが、セキュリティ視点で危なそうな記載として、
◆2012年ロンドン大会
・オリンピック施設と選手村ではWPA2 PSK暗号化Wi-FI環境を整備
・2014年時点でロンドン市内のWi-Fiのうち17%が暗号化なし、4%がWEP、40%がWPA、13%がWPA2、26%がWPS
◆2016年リオ大会
・"Sheraton-GuestRoom"や”Rio 2016”といったホテルやオリンピックの名前を利用した偽アクセスポイントが設置
・オリンピック周辺施設のWi-Fiのうち、18%が暗号化なし、8%がWPA、74%がWPA2
2020年の東京オリンピック・パラリンピックでは、"Teikoku-GuestRoom"、”Tokyo 2020”、"Toyota 2020" 、”Free-Samurai Wi-Fi”といったホテル名、オリンピック名、スポンサー企業名だけでなく、日本の名前を冠した偽アクセスポイントは当然出てきそうですし、それ以上に深刻になりそうなのが、暗号化されてない、あるいは安全性が担保されないWEP、WPA等の暗号通信を狙った通信内容の盗み見、中間者攻撃被害ではないでしょうか。
最近はWPA2の脆弱性も発表されていますので、適切なVPNサービスの利用、サービス層のHTTPS等の暗号化(証明書)など、利用者側のセキュリティ意識の向上も必要とは思いますが、Wi-Fiを起因とした大型犯罪が発生しない様に、こうした課題への日本全体での取り組みは重要ですので、公衆無線LANセキュリティ分科会の検討状況は定期的に見ていけたらなと思います。
更新履歴
