新型コロナウイルスの感染拡大と共に、テレワークを推奨する企業の数は激増し、令和2年度は前年度に比べて、テレワークを行う就業者の数が約2倍になったという報告もあります(国土交通省 令和3年3月19日報道・広報資料 より) 。
テレワークは、社員同士のコミュニケーション不足や生産性の低下という問題を指摘する声もある一方で、家族との時間が増えたり、休憩時間などに家事をこなせるという点で肯定的な意見も多く耳にします。ただ、この状況を喜んでいるのは、そうした日々忙しく働く人たちだけではありません。企業から個人情報や機密情報を盗み出そうと考える者にとってもテレワークの拡大は歓迎すべき状況と言えます。
企業がテレワーク用に社外から接続できるネットワークシステムを構築すれば、そちらを悪用して社内ネットワークに侵入する可能性は高まりますし、自宅のWi-Fiでも固定的なWEP(Wired Equivalent Privacy)キーを使用し続ければ、短時間のうちにパスワードを破られる可能性があります。
もしあなたが社外で顧客データや営業秘密を扱う立場なら、あるいは経営者やIT担当部門の方であるなら、こうしたテレワークの危険性を良く知り、然るべき対策を打つ必要があります。今般の感染症によって世界中がそうしたことを考える契機を得たと言っても良いのかもしれません。
本稿では、企業側から見て手の届きにくいWi-Fiのセキュリティについて考えてみたいと思います。
Wi-Fi接続の危険な暗号化、安全な暗号化
Wi-Fiのセキュリティを考える際に、その中心となるのは通信経路の暗号化です。Wi-Fiは作業を行うパソコンやスマホ・タブレット端末と自宅のルーター等を無線で繋ぐ仕組みですが、無線であるが故にアンテナなどを用いて通信を簡単に傍受される懸念があります。自宅で使っているパソコンとルーターの間であれば安全に思えてしまうかもしれませんが、マンションの一室内を飛び交うデータを屋外から傍受できる高性能のアンテナも市販されており、その気になれば誰でも通信を傍受できてしまうのが現実です。
従って、万が一通信が傍受されたとしても、その情報がどのようなものかがわからないように通信を暗号化しておくことが必須です。実際、自宅等でWi-Fiルーターを設置する際にはSSIDと暗号化キーを設定されていると思います。
ただ、この暗号化については幾つもの方式があり、中には、すでに古い技術となり簡単に解読されてしまうものがあります。
WEPは解読可能な暗号化方式
例えば、WEP(Wired Equivalent Privacy)と言う暗号化方式があります。この技術は仕組みがシンプルなこともあり、多くの家庭用Wi-Fiルーターで用いられていますが、実はこの方式で暗号化したデータは数時間で解読できてしまうことが知られています。詳細な説明は省きますが、WEPは暗号化キーの長さが40ビット(英数半角5文字)と比較的短いうえ、一度設定したらこれを固定的に長く使用します。さらに、暗号化キーがデータと一緒に送受信されるため、一度の傍受で簡単に暗号を解読される恐れがあります。
WPAのセキュリティ性
こうした背景もありWEPについては現在使用を推奨されていません。代わりに出てきた技術で今の主流と言っても良い地位を占めているのはWPA(Wi-Fi Protected Access) あるいはWPA2と呼ばれるものです。これらについても技術的な詳細は省きますが、WEPと違って、暗号化キーの長さも128ビット(半角英数13文字)と長いうえに、WPA(TKIP)と呼ばれる方式であれば、通信の度に暗号化キーが変更されます。暗号化方式をTKIPとは異なる方式で実現したWPA(AES)という方法もあります。
現在では、この方式を更に安全にしたWPA2と呼ばれる方式が広く普及しています。つまり、WEPよりも安全な方式としてWPA(TKIP)、WPA(AES)、WPA2(TKIP)、WPA2(AES)といった選択肢があるわけです。
ただ、このWPA2も「KRACK」という攻撃技術が出回るようになり、100%安全というわけでもありません。そこで現在ではWPA3という方式も登場しています。この方式はWPA2よりも安全と言われますが、WPA2との互換性があることから一部の脆弱性も引き継いでいると言われます。これらに関してはルーターのファームウェアを最新版にアップデートすることが必要になります。
企業のIT担当者や経営層の方は、オフィスのみならず自社の社員が自宅や外出先で使用しているWi-Fiの暗号化方式を調べて、もしもWEPや古いWPAであるなら接続させない、機器のファームウェアやパッチは必ず最新状態にしておくなどのルール化を早急に定めましょう。
Wi-Fiに新たな危険「Frag Attacks」
さて、ここまでは2000年代初頭から広く言われてきた暗号化の脆弱性についてのお話で、言ってみればWi-Fiセキュリティの基礎編といった内容でしたが、昨今のWi-Fiには、こうした対応だけでは防ぎきれないと思われる問題も指摘されるようになりました。今年の5月にニューヨーク大学アブダビ校のマシー・ヴァンホーフ氏が、これまでにないWi-Fiへの脅威を発表しました。この脅威は主にWi-Fi通信時に行われるフラグメンテーションというデータの分割に関する脆弱性の複数の問題で、ヴァンホーフ氏はこれらを総称して、「Frag Attacks」と呼んでいます。Wi-Fiでルーターとパソコン等が通信をする際には、送受信の効率化や安全性を考慮して、データを一定の単位に区切ってフレームと呼ばれる塊にしたり、逆にこのフレームを複数まとめることにより効率的な通信を行ったりします。また、フレームの中を更に細分化してフラグメントという単位で送受信を行ったりもします。分割したりくっつけたり、ややこしいですが、実際には通信機器間で、そのようなことが行われており、「Frag Attacks」は、その仕組みを悪用したものです。
この問題の厄介なところは、脆弱性が特定の機器やソフトウェアに限られたものでなく、Wi-Fiという国際的な通信規約自体に内在する点です。世界中のWi-Fi機器メーカーが、それに従って機器の開発や製造を行うわけですから、その危険は世界中の会社や家庭で使われるWi-Fi機器すべてに及ぶということになります。
そこで、今回は特に注意すべき3つの攻撃について簡単にご紹介したいと思います。
アグリゲーション攻撃
まずは、アグリゲーション攻撃と呼ばれるものです。これは悪意者がネットワーク上に任意の情報を紛れ込ませることのできる攻撃で、前述したWi-Fi通信の性能向上を目的としたフレーム結合の仕組みを悪用した攻撃です。複数のフレームをとりまとめて大きなフレームを作る際には、それが集約フレームであることを示す“フラグ”というものを一部のフレームにつけるのですが、このフラグについて、Wi-Fiでは特に正当性のチェックを行いません。つまり本来のフレームと不正なフレームを集約して悪意者が勝手にデータを潜りこませても、フラグとフレームの個数を比較して不正データであることを見抜くことができないのです。これを悪用されると通信データの改ざんやシステム障害を引き起こされる可能性もあります。
混合鍵攻撃
次に混合鍵攻撃(Mixed Key Attack)というものがあります。通信を行う時には、データ(この場合のデータの塊をフレームと呼びます)をフラグメントと呼ばれる小さな単位に分割して送信します。そして、同じフレームから分割されたフラグメントには、同じ暗号化キーが設定されるのですが、現在のWi-Fi規格は、たとえ異なる暗号化キーを持つフラグメントであってもこれを受け取ってしまう仕様となっています。つまり、悪意者が任意のフラグメントを送り込み、偽のデータやコマンドを送り込むことが可能となってしまうというわけです。そうなれば、データの破壊やシステムの誤動作誘因、データの流出をさせることも可能になってしまうわけです。
フラグメントキャッシュ攻撃
もう一つご紹介したいのがフラグメントキャッシュ攻撃というものです。これも被害の態様としては、前出の混合鍵攻撃と似たものになりますが、Wi-Fi規格ではパソコンなどをネットワークから切り離した際、Wi-Fi機器に残っているフラグメント(フレームの再構成に使用されなかったフラグメント)をメモリから削除することを求めていません。
悪意者はWi-Fi機器に不正なフラグメントを送り付け、残存するフラグメントとこれを組み合わせることで機器に残るデータを流出することが可能になるというわけです。
以上が、Frag Attacksのうち代表的なWi-Fiの脆弱性です。これらは前述した通り、今使われているWi-Fiすべてに内包されており、最新形式のWPA3においても脆弱性を内包しているということです。送受信しているデータを攻撃するもので、改ざんや破壊、漏洩といったことをいずれも行えてしまいますので、かなり危険な脆弱性と言うことができます。
この脆弱性の対策については、各Wi-Fi機器メーカーから発表されていますので、テレワークを許可している企業は従業員が自宅で使っている機器に最新のパッチをインストールしてもらうなど教育や継続的な情報提供を行っていく必要があります。
脆弱性をつかれた企業の責任
このような脆弱性のある中で、従業員にテレワークを許可する企業は、通常では目の届かない従業員の自宅や作業場所も管理していかなければいけないということになります。企業の経営者やIT部門の担当者からすれば、こうした管理はコスト的にも、労力的にも大きな負担になってしまうのかもしれません。
しかし脆弱性に対する対策を行わずに、情報漏洩等を起こしてしまうと企業はその責任を負って場合によっては経営に大きな影を落とすほどの損害賠償を求められる可能性もあります。
例えば、東京地方裁判所で平成26年1月23日に判決の出た裁判では、顧客のクレジットカード情報を流出させてしまった企業に多額の賠償が命じられました。この事件はWi-Fiセキュリティに関するものではありませんが、カード情報の入ったデータベースを危険な場所に置き、Web画面にも脆弱性がありながら、これを放置した企業の責任を裁判所が厳しく断罪した例です。
この裁判では企業が顧客情報を預かっていながら、当時、すでに様々なメディアで紹介され、その手口や対策が周知の事実となっていたSQLインジェクションという脆弱性を放置していたことが問題となりました。もちろんセキュリティ対策は法律で命じられているものではありませんし、この企業の場合、顧客に対して契約でセキュリティ対策を約束していたわけではありません。それでも、誰もが知るセキュリティ対策を怠れば、それは企業の不法行為と判断され損害賠償を命じられることになるのです。
本稿の前半でご紹介したWi-Fiの危険とその対策は、すでに周知の事実です。
テレワークが定着しつつある今、企業は改めてWi-Fiのセキュリティリスクを把握し、対策を講じる必要があります。リスクに備えた環境や制度を構築することで、日々の業務はより快適かつ安全に進むでしょう。
まとめ
テレワークは新型コロナウイルス感染症の収束後も継続するでしょうし、それに伴い、企業側の管理が及ばないシーンでも従業員はWi-Fiを使用し社内ネットワークやクラウドサービスにアクセスし、業務を行うことになるでしょう。そうしたとき、企業が単にセキュリティ対策の責任を従業員個々の努力に任せておくという状態は鍵をかけずに外出するように危険です。
この時期を契機に企業はセキュリティ対策を従業員の意思に任せるのではなく、セキュリティリスクや対策を教育し、適切な環境下での企業活動をサポートしましょう。こうした企業努力が、顧客情報や内部情報などの意図せぬ漏洩を防ぎ、結果として企業価値を維持・高め、競争力ある企業の礎となります。Wi-Fiをはじめとするテレワーク環境のセキュリティ対策について今一度見直しましょう。
