パスワードだけの無線LANやWi-Fiはハッキングの危険性大

クライアントセキュリティ脆弱性/マルウェア

2020年06月09日 2023年04月28日

インターネットの浸透とワークスタイルの変化に伴い、「オフィスの自分の席以外」からの勤務が一般的になりました。無線LAN規格の高速化やつながりやすさの進化により、Wi-Fiを利用してオフィス外で仕事をしたり、オフィス内でも、ノートパソコンユーザの大半は無線LANを使用していることも多く、フリーアドレスの企業も増えています。
しかし、セキュリティ面ではどうでしょうか。無線LANの使いやすさの裏側に、多くの企業では脆弱性のリスクが放置されたまま、ということもあります。

目次

  1. 無線LANのセキュリティ
  2. 無線LANにハッキングされると何が困るか?
  3. 「無線LANのSSIDを非表示にすれば安心」ではない
  4. 二要素認証という選択肢
  5. 公共Wi-Fiは可能な限り利用しない

無線LANのセキュリティ

有線LANは、「オフィスにある有線LANケーブルを接続している間のみ、ネット接続が可能になる」という仕組みですが、無線LANやWi-Fiは「接続できる範囲内であれば、どこからでもネット接続が可能で、ケーブルの着脱が不要」です。これは、別な言い方をすると「正当な権限がない人がアクセスしていても気づけない」ということを示しています。

通常、無線LANにアクセスするためのセキュリティとして用意されているのは「パスワード」です。例えば「a8fce45m」というような英語と数字の文字列で、8文字から10文字程度のパスワードが利用されるのが一般的です。パスワードを変更することは可能ですが、変更には手間がかかるため、機器にあらかじめ設定されたパスワードをそのまま使っているユーザも多いのが現状です。

そして、SaaSなどのオンラインサービスのように「パスワードを3回間違えたらロックされる」といった仕組みを持てないのも無線LAN機器の特徴です。つまり、接続試行を何度でも繰り返し行えます。実際、無線LANのパスワードを総当たりでハッキングするアプリも普及しており、容易に入手できます。つまり、「無線LANは、総当たり攻撃をされると、ほぼ確実にハッキングされる」ということです。

無線LANにハッキングされると何が困るか?

権限のない人が無線LANに接続した場合、以下の2つのリスクがあります。

1.会社の無線LANから、違法行為が行われる

会社の無線LANを利用して、例えば、違法ファイルの共有やハッキングなどの攻撃が行われる可能性があります。こうした違法行為はまず「どのIPアドレスから違法行為がなされているか」が確認されるため、社員に疑いがかかります。

「違法行為を行っている人は誰もいません」と言っても、IPアドレスの履歴があるため、全社員のアクセスログや操作ログを確認したり、会社に持ち込んでいる私物機器のチェックが必要になったりする可能性があります。もし無実が証明されたとしても、無実を証明するためには膨大な労力が必要となります。

2.社内ネットワークに不正アクセスされる

自社のWi-Fi環境内でのみ共有しているファイルサーバや共有フォルダに不正アクセスされ、製品情報、顧客情報、社員の個人情報、財務情報などが漏洩するリスクがあります。また、ウイルスなどを感染させられ、自社だけでなく取引先に迷惑をかけてしまう場合もあります。 もし犯人をつかまえられたとしても、機密情報や顧客情報がネット上に公開されてしまったら、会社の信用は失墜します。ウイルスが広められた場合は、「あの会社はセキュリティが甘い」という悪評が立ちます。

「無線LANのSSIDを非表示にすれば安心」ではない

セキュリティを高める方法として、無線LANのアクセスポイント情報(SSID)を非表示にする方法あります。非表示になっていれば、不正にアクセスする対象が見つからないので安心、というものですが、非表示になっているSSIDを表示するためのツールは多くリリースされているので、「非表示にすれば安心」というわけでは全くありません。

ちなみに、SSIDが非表示になっていると、社員から「Wi-Fiに接続する方法が分からないので教えて欲しい」という問い合わせが増加することが予測されます。SSIDが非表示の場合は、パスワードを入力することに加えて、SSIDを手入力しなければならないためです。よって、非表示にすることによるメリットはほとんどないといってよいでしょう。

二要素認証という選択肢

セキュリティ、特に認証における考え方の1つに「二要素認証」というものがあります。これは、「知識要素(パスワードなど)」「所有要素(証明書など)」「生体要素(指紋など)」のうち、認証時に2つの要素を併用することで、不正アクセスを防ぐという考え方です。Googleでは、認証を2つにすると自動化された攻撃を100%防ぐことができたと発表していることから、高度なセキュリティを維持するには二要素認証は必須といって過言ではありません。

無線LANで二要素認証を実現する方法として、社員の負担なく導入できるのが「クライアント証明書」です。社員が利用するパソコンやスマートフォンに証明書をインストールすると、「無線LANのパスワードが入力され、証明書が入ったデバイスからのみ、無線LANに接続可能」となります。つまり、無線LANのパスワードをハッキングできたとしても、証明書が入っていないパソコンやスマートフォンからは、接続できないようになります。

公共Wi-Fiは可能な限り利用しない

上記のことから公共Wi-Fiなどは、悪意ある第三者であっても自由に利用できるものだと考えておいたほうが賢明です。セキュリティリスクをさけるため、会社のパソコンであれば支給されたモバイルWi-Fiやテザリング機能を必ず利用するようにしましょう。私物のスマートフォンでも、モバイル通信料をかけないためにリスクのある通信を選ぶのではなく、避けるほうが安心といえます。

関連リンク

クライアント証明書

関連する記事

自社は大丈夫?社内無線LANに必要なセキュリティ対策(2017.10.11)

トピック関連記事

#

2015年11月02日

iOSにも迫るマルウェアのリスクと対策を知ろう~XcodeGhost問題の発覚から現在まで~

脆弱性/マルウェア

#

2021年04月06日

不正アクセス事例から学ぶ、VPN接続のセキュリティ強化

クライアントセキュリティ
脆弱性/マルウェア

#

2016年03月25日

DROWN攻撃による脆弱性の対策を

脆弱性/マルウェア

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。