Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは Symantec Corporation または関連会社の米国およびその他の国における登録商標です その他の会社名 製品名は各社の登録商

Transcription

1 WHITE PAPER: White Paper あなたのスマホは大丈夫? 広がる無線 LAN 環境と 明日からでも実行できる セキュリティ対策 powered by Symantec

2 Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは Symantec Corporation または関連会社の米国およびその他の国における登録商標です その他の会社名 製品名は各社の登録商標または商標です 合同会社シマンテック ウェブサイトセキュリティは 本書の情報の正確さと完全性を保つべく努力を行っています ただし 合同会社シマンテック ウェブサイトセキュリティは本書に含まれる情報に関して ( 明示 黙示 または法律によるものを問わず ) いかなる種類の保証も行いません 合同会社シマンテック ウェブサイトセキュリティは 本書に含まれる誤り 省略 または記述によって引き起こされたいかなる ( 直接または間接の ) 損失または損害についても責任を負わないものとします さらに 合同会社シマンテック ウェブサイトセキュリティは 本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず 特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します 本書は 本書の読者に対し 本書の内容に従って作成された機器または製品の作成 使用 または販売を行うライセンスを与えるものではありません 最後に 本書に記述されているすべての知的所有権に関連するすべての権利と特権は 特許 商標 またはサービス マークの所有者に属するものであり それ以外の者は 特許 商標 またはサービス マークの所有者による明示的な許可 承認 またはライセンスなしにはそのような権利を行使することができません 合同会社シマンテック ウェブサイトセキュリティは 本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます 2

3 CONTENTS 概要 4 第 1 章拡がる無線 LAN と漏えいリスク 4 拡がる無線 LAN 4 無線 LAN の固有のリスク 4 利用者の立場でのセキュリティリスクと対策 5 企業内管理者の立場でのセキュリティリスクと対策 5 実情は十分な対策がとられていない 6 ウェブサービス事業者が守るべき情報 6 第 2 章ウェブサービス事業者としての対策 7 Google Twitter などの取り組み 7 Firesheep の登場とサイドジャッキングの脅威 7 cookie の暗号化と 常時 SSL 7 最後に 8 3

4 概要 無線 LAN は 一般家庭や企業のオフィス環境のみならず 最近では駅 空港や飲食店などの公衆環境でも広く利用されています また PC 用アダプタやネットブックなど より安価かつ手軽に無線 LAN を利用できるクライアント端末も普及しており さらにスマートフォンやタブレット ゲーム機器などへと裾野を広げています しかしながら 無線 LAN 特有のセキュリティリスクを理解し適切な対策をとらない場合には 自らの個人情報や企業情報の漏えい 不正利用などの大きなリスクを招くことになります このホワイトペーパーでは 無線 LAN 特有の脅威を解説し 併せて無線 LAN 環境からウェブサービスを利用するシーンでの 明日からでも実行できる セキュリティ対策を 利用者の観点 運営者の観点のそれぞれから紹介します 第 1 章拡がる無線 LAN と漏えいリスク拡がる無線 LAN 無線 LAN がつながる環境は拡大し続けています 一般家庭はもとより 平成 23 年時点で約半数の企業は オフィスに無線 LAN を導入しています 1 また駅 空港などの交通機関 カフェなどの飲食店 またはホテルやコンビニエンスストアなどの公衆環境における無線 LAN サービス 2 も普及の一途を辿っています こうしたサービスには 月額料金制の有料のサービスの他に 無料で使えるものもあります 携帯電話キャリアの中には 自社のスマートフォン利用者に対して無料で公衆無線 LAN サービスを提供する事業者も存在します 3 また 2010 年以降に発売されたスマートフォンの中には 携帯電話回線を通じて PC やタブレットをインターネットに中継させるテザリング機能を持つものも登場しており 無線 LAN サービスの提供形態はさらに多様化しています 無線 LAN の固有のリスクこうして広がる無線 LAN では アクセスポイント (PC 等をネットワークに接続する際の親機にあたるもの 以下 AP) と PC やスマートフォンなどの端末の間で電波を利用して通信を行います 従って 適切なセキュリティ対策がなされていない場合には 従来の有線イーサネットなどに比べて 第三者に通信内容を傍受されたり ( 盗聴 ) 同じネットワーク内のファイルを不正に見られたり ( 不正アクセス ) するリスクが高くなります 一般家庭などの AP に通信暗号化やユーザ認証などの設定が正しく施されていない場合 悪意を持つ第三者が身元を隠してこのネットワークを経由し インターネット上で誹謗中傷 詐欺行為やマルウェア配布などの犯罪行為の踏み台として利用 (AP の不正利用 ) されるリスクがあります IP アドレスなどの証跡から 意図せずこうした行為の加害者として容疑をかけられてしまう可能性もあります また公衆無線 LAN サービス環境では 悪意ある第三者が正当なネットワークを装って設けた偽物の AP を通じて 不正に情報が搾取される (AP のなりすまし ) 可能性があることにも注意しなければなりません 無線 LAN 環境には このような脅威を避けるために 利用者 運営者それぞれの立場での 適切なセキュリティ対策が必要です 4 1: 警察庁 不正アクセス行為対策等の実態調査調査報告書 平成 23 年度 2: 総務省の定義によると 無線 LAN サービス は 通信事業者による 公衆無線 LAN サービス と 店舗経営者等が顧客に無線 LAN 利用環境を解放提供する 店舗解放型無線 LAN サービス とに分類されますが この他にも FON (AP を会員間で共有するシステム ) のような多様な形態が存在するため ここでは便宜上 総称として 無線 LAN サービス を用います 3: 本校執筆時点 (2012 年 5 月時点 ) で docomo Wi-Fi au Wi-Fi SPOT ソフトバンク Wi-Fi などの無線 LAN サービスが存在し 各社とも ( キャンペーンや期間制限などの条件つきのものを含め ) 無料で利用できるプランが存在します この背景には スマートフォンの急速な普及に伴う通信量増加に対して 携帯電話回線逼迫を避けるためのデータオフロード戦略があるようです ( 参考資料 : 総務省無線 LAN ビジネス研究会資料 ドコモ通信 Vol 冬号など )

5 利用者の立場でのセキュリティリスクと対策利用者にとっては AP の近くであれば いつでも どこでも つなげる便利な無線 LAN ですが 同時に個人情報や企業の機密情報が漏えいするリスクに配慮する必要があります 利用者の観点から注意すべき点としては 以下が挙げられます (1) 家庭での利用においては 盗聴 不正アクセス AP の不正利用 を防止するため AP に適切なセキュリティ設定を施すこと (2) オフィス環境においては IT 部門のガイドに従って正しく設定されたネットワークおよび端末を利用すること (3) 公衆無線 LAN サービスにおいては AP のなりすまし や 盗聴 の被害を避けるため 十分な暗号化とユーザ認証が施されたサービスを選択し 利用すること初めに (1) の家庭での無線 LAN の利用においては 無線 LAN ルータの説明書などに従って 暗号化と認証のセキュリティ設定を行いましょう 一般家庭向けの無線 LAN におけるセキュリティ設定としては WEP WPA-PSK および WPA2-PSK などが存在します WEP のみに対応している古い機器の接続性を考慮する必要がなければ WPA または WPA2 を選択すべきであり WPA2-PSK を選択できる環境ではこれを選ぶことが最も望ましいと考えられています WEP とは IPA 一般家庭における無線 LAN のセキュリティに関する注意 総務省国民のための情報セキュリティサイト安全な無線 LAN の利用 security/j_enduser/ippan06.htm 企業内管理者の立場でのセキュリティリスクと対策 企業において社員向けの無線 LAN などを運用する場合 社内の 機密情報を守る目的で ユーザ認証および通信暗号化の双方の観 点から 一般家庭での AP の構築よりさらに強固なセキュリティが 必要です これを怠った場合 無線 LAN の不正利用や社内ネット ワークへの侵入のみならず 機密情報の流出など大きな被害につ ながる可能性があります 企業向けには RADIUS など認証専用のサーバを用いて ユー ザを認証してからネットワークへの接続を許可する IEEE802.1x 認証方式を組み合わせて使うことが推奨されます プロトコルと しては ダイアルアップ接続などに利用される PPP(Point to Point Protocol) を拡張し 証明書を用いた認証方式をサポート する EAP(Extensible Authentication Protocol) が用いられ 前述の暗号化方式 WPA WPA2 と組み合わせて WPA- EAP WPA2-EAP と呼ばれます 前述の一般家庭向けのセキュリティ設定と比較すると下図のように なります RC4 暗号をベースとした暗号方式 鍵データの生成方法が単純であり 同一の鍵がパスワードを変更しない限り 使われ続けることなどから 既に解読が容易であるために 現在では使用することが推奨されていない WPA-PSK とは WPA パーソナルとも呼ばれる RC4 暗号をベースに WEP の欠点を改善した TKIP という技術が採用されている AES(Advanced Encryption Standard) 暗号をベースとする WPA-AES と呼ばれる方式 高 暗号の強度 一般家庭向き WPA2-PSK (WPA2パーソナル ) WPA-PSK (WPAパーソナル ) 企業向き WPA2-EAP (WPA2エンタープライズ ) WPA-EAP (WPAエンタープライズ ) も存在する WEP AP と端末側に Pre-Shared キー ( 暗号化のための鍵 ) を設定する ただ 低 し鍵を生成するための文字列 ( パスワード ) に 十分に長い ランダムな文字列を利用しない場合は容易に解読される危険性がある 低 認証の強度 高 WPA2-PSK とは WPA2パーソナルとも呼ばれる WEPやWPAの欠点が改善され 強力な AES 暗号をベースとしている 現時点で家庭で一般的に用いられる無線 LANの暗号化方式として最も安全性が高い 図 1 : 無線 LAN のセキュリティ設定の強度の比較 ( イメージ図 ) 総務省や IPA では上記の選択基準などの他に 無線 LAN ルータ のベンダ各社へのリンクを含めた利用ガイドを発行しています こ れを参考に 正しい運用を心掛けましょう 5

6 大企業 中堅企業向けの情報システム管理者向けに 無線 LAN のセキュリティ対策がまとめられたガイドが IPA から発行されてい るので こちらも参考にしてください IPA 大企業 中堅企業の情報システムのセキュリティ対策 ~ 脅威と対策 ~ 分冊 4 無線 LAN 利用環境のための運用上のセキュリティ対策 enterprise/html/421.html 実情は十分な対策がとられていない しかしながら現時点では必ずしも多くの企業において十分な対策が とられているとは言えないようです 警察庁の調べによると 平 成 23 年度時点で 58.2% の企業内の無線 LAN において 既 に盗聴などの危険性が報告されている WEP を利用していること が報告されています 16.9% 21.0% 15.3% 39.6% 42.4% 28.1% 58.2% 48.4% 53.8% 0% 20% 40% 60% 80% 100% 図 2 : 企業における無線ネットワークにおけるセキュリティ対策の実情 ( 出典 : 警察庁 不正アクセス行為対策等の実態調査調査報告書 平成 23 年度より ) ウェブサービス事業者が守るべき情報さて これまで見てきたように 無線 LAN 環境には特有の脅威が存在するにも関わらず 家庭 オフィスおよび公衆無線 LAN サービスなど多様な環境が存在し その一部は昨今に至るまで WEP が利用されるなど セキュリティ対策が十分でないために 無防備 な状態です こうした状況下で ユーザが無線 LAN 環境でウェブサービスを利用する際に 確実に個人情報を守る方法の一つとして から始まる URL で表される SSL サーバ証明書を導入したウェブサイトを利用することが挙げられます SSL/TLS の技術は TCP/IP より上位のレイヤで通信内容を暗号化するため 端末と AP の間の通信を傍受されても 通信内容を把握して悪用することは困難です しかしながら インターネット上の全てのウェブサイトが SSL サーバ証明書を導入しているわけではなく ウェブサービスのユーザは から始まる URL のウェブサイトと のウェブサイトとを行き来せざるをえない状況であり 前述のように無防備な無線 LAN 環境を利用するユーザは 常に 盗聴 の脅威と隣り合わせの状態におかれています こうした状況は ウェブサービスを提供する事業者側で 改善することが出来ることが示されています 次の章では 無線 LAN 環境に危険があることを前提として ウェブサービス事業者側でユーザの個人情報を守るために行われている取り組みを見てみましょう 企業の情報セキュリティ対策においては 守るべき情報の重要性とコストとのバランスを考慮することは必要ですが 既に様々な問題が存在する暗号方式を利用し続けることは避けるべきです また この他に 駅 空港や飲食店などの公衆環境で利用可能な公衆無線 LAN サービスにも課題があります 代表的な公衆無線 LAN サービスの中にも 採用しているセキュリティ規格として WEP のみに対応 していることを明示しているものが多く存在します 4 公衆無線 LAN サービスは 不特定多数のユーザが集まる環境で使われるので 盗聴 AP のなりすまし が最も発生しやすい環境であると言えますが 実際には十分なセキュリティ対策が行われてはいないのが実情のようです 4: アスキードット 2012 年 4 月号分冊 Wi-Fi つながる 使える完全活用法 6

7 第 2 章ウェブサービス事業者としての対策 Google Twitter などの取り組み 今日 世界規模で最も大規模なユーザを抱えるウェブサービスの代表格として Google Facebook や Twitter などが挙げられます 2011 年以降 これらの企業が相次いで ウェブサービスを提供する全てのページに SSL サーバ証明書を導入し ウェブサーバと端末上のブラウザとの間のアプリケーションレベルの通信を End-to-End で暗号化しています 実はこの背景には Firesheep などのツールの登場によって無線 LAN 環境におけるサイドジャッキングなどの攻撃が容易になったために 個々の環境ごとに異なる AP のセキュリティ設定に依存することなく ウェブサービス事業者側で実施可能なユーザ情報の保護のための対策として実施されたものなのです Firesheep の登場とサイドジャッキングの脅威 Firesheep とは 2010 年 10 月に Eric Butler 氏によって開発され公開された Mozilla Firefox のアドオンツールです これを用いることで 特別なハッキング技術がなくても 同じ無線 LAN の AP と そこに接続する他のユーザの cookie に含まれるセッション情報を盗み 第三者になりすましてセッションをハイジャックすることができます 2011 年には Android 版 Firesheep と呼ばれる FaceNiff というアプリケーションも登場しました このような攻撃はサイドジャッキングと呼ばれています 例えば多くのユーザが利用するウェブメールサービスである Hotmail や Gmail は 以前はログイン時のユーザ認証時を除いて SSL/TLS による暗号化が施されていない http プロトコル上で提供されていました しかしこうしたサービスで頻繁に利用される cookie 上のユーザ情報やセッション ID( 図 3 参照 ) などの情報は http 上では暗号化されないために 前述の Firesheep などによって盗み読まれてしまうリスクがあります 5 GET /logo.gif HTTP/1.1 Accept: */* Referer: Accept-Language: ja ( 中略 ) Accept-Encoding: gzip, deflate Host: Connection: Keep-Alive Cookie: sessionid= c683a e6 7BE2AE63 図 3 : Cookie によってウェブサーバに送信されるセッション ID のイメージ ( 太字下線部分 ) 多くの人が集まるカフェなどの公衆無線 LAN 環境で 悪意ある 第三者がウェブメールなどのアプリケーションを不正利用されてし まう脅威が高まったため Google などのウェブサービス事業者は 対策を迫られました cookie の暗号化と 常時 SSL cookie の値を盗み見られないためにウェブサービス事業者が実施 可能な対策として cookie に secure 属性を設定することが挙げ られます cookie に secure 属性を設定することで https で の暗号化通信時にのみ cookie がウェブサーバに送信されるように 管理することが出来ます http での非暗号化通信時には cookie は送信されないので 結果的にサイドジャッキングを防止すること ができます この時 1 つのウェブサイトで http / https 双方でのアクセスが 可能であったり ページ遷移の過程で http / https を行き来す るような場合には cookie の値が送信されたりされなかったりす るために ウェブアプリケーション側の cookie のハンドリングが複 雑になる懸念があります これを補完するもう一つの対策として サービスを提供する全てのページに SSL サーバ証明書を導入して 常に https での通信が行われるように設定する 常時 SSL の導入が挙げられます SSL/TLS で暗号化されたウェブページとの間でのみ cookie の情報をやりとりすることでサイドジャッキングを防止することに加えて ウェブアプリケーション側の cookie のハンドリングをシンプルにすることが出来ます 前述の Google や Twitter ではこの方式を採用し 全てのアクセスが https で行われるようにすることで 彼らのウェブサービスのユーザの個人情報が無線 LAN 環境で盗聴の脅威にさらされることを防いでいます 5: 2007 年 7 月には BlackHat USA2007 で無線 LAN 越しにウェブメールのセッションをハイジャックするデモが行われました ( 参考 )YouTube "What Is A Sidejacking Attack?"( 動画 ) 7

8 SSL サーバ証明書は 原則として FQDN ごとに導入する必要がありますが その配下で https 化するウェブページの数に制限はありません ウェブサービス事業者の観点からは cookie を用いるウェブサービスを提供する場合は 従来から https 化されている個人情報を入力するウェブページのみならず 全てのウェブページで https による暗号化通信が行われるように設定などを見直すことが 安価に かつ明日からでも実現できる対策であると言えます 6 米国の Online Trust Alliance(OTA) では 本稿でご紹介した Google や Twitter の取り組みをベストプラクティスとしてまとめた ホワイトペーパーを公開 7 するなど 常時 SSL の導入を積極的に呼びかけていますので 参考にしてください 最後に利用者側の視点に立ち戻った場合に 自らのセッション情報を正しく守り アカウントをのっとられないために必要な判断の一つとして https で提供されるウェブサービスを優先的に選択したり http と https の選択肢が与えられた場合には https を選ぶことが挙げられます ウェブサービスを提供する事業者は 無線 LAN に特有の脅威やその動向にも配慮しながら 必要に応じて SSL サーバ証明書の導入の範囲や設定を見なおしてみてください 6: ここに挙げた方法の他に クライアント側から http でアクセスされた場合にも https での通信を強制する方法として HSTS(HTTP Strict Transport Security) が挙げられます しかしながら 本稿執筆時点で対応ブラウザが十分に普及していない また http から https への HTTP Redirect( 通称 301 転送 ) など他の手段で代替可能であることから ここで議論する脅威への対策としては十分に有効ではないと考えられます 7: OTA Always On SSL (Secure Sockets Layer) ( ページ下部に日本語版のホワイトペーパーへのリンクがあります ) 8 Copyright 2014 Symantec Corporation. All rights reserved. シマンテック (Symantec) ノートン (Norton) およびチェックマークロゴ (the Checkmark Logo) は米国シマンテック コーポレーション (Symantec Corporation) またはその関連会社の米国またはその他の国における登録商標 または 商標です その他の名称もそれぞれの所有者による商標である可能性があります 製品の仕様と価格は 都合により予告なしに変更することがあります 本カタログの記載内容は 2014 年 4 月現在のものです 合同会社シマンテック ウェブサイトセキュリティ 東京都港区赤坂 赤坂インターシティ Tel : websales_jp@symantec.com