テクノ雑学
第180回 モバイル機器を楽しむ生命線 Wi-Fiアクセスポイント〜後編〜
Wi-Fiで通信内容を他者に読み取られないため、電波の暗号化に使われている技術には「WEP(Wired Equivalent Privacy)」「TKIP(Temporal Key Integrity Protocol)」「AES(Advanced Encryption Standard)」があります。そして、暗号としての「強度」は、WEP<TKIP<AESの順に強くなります。
これらの暗号化技術は、前々回(第178回 モバイル機器を楽しむ生命線 Wi-Fiアクセスポイント 〜前編〜)で説明した「公開カギ暗号」などの暗号化技術を使い、さらに特定のルールに基づいてデータを並べ替える「転置処理」、暗号カギのバリエーションに応じた「置換表」を使ってデータを置き換える「換字処理」などを施して、通信の内容を暗号化しています。ただし、それぞれが暗号化のために使っている具体的な手法については、説明し出すと非常に長くなってしまうので、今回はWi-Fi機器を使う上で重要なポイントとなる点だけに絞って説明します。
意外と甘いWi-Fi上のセキュリティ
最初に覚えておいていただきたいのは、暗号カギは「総当り式」を使えば、いつか必ず解読できる、ということです。たとえば、WEPで用いる暗号カギのデータ長は40 bit(5文字)もしくは104 bit(13文字)で、40 bitの場合、暗号カギとして使える文字列の組み合わせは2の39乗個になります。この組み合わせのすべてを、1秒間に1テラ(10の12乗)回の計算ができるコンピュータで順番に試すのに要する時間を計算すると、約2秒にすぎません。
実際にWi-Fi上でやりとりされる場合は、暗号カギだけではなく、Wi-Fi機器が固有に持っているIV(Initialization Vector:初期化ベクトル)という24 bitのデータも使っているので、暗号としての「強度」が40 bitのままというわけではありませんが、WEPはそれ以外にもセキュリティ上の脆弱性が指摘されており、比較的容易に暗号カギが解読できてしまうことが知られています。一例をあげるなら、2008年10月に開催された「コンピュータセキュリティシンポジウム2008」の席上で、神戸大学の森井昌克教授から、WEPによる暗号を瞬時に解読する手法の研究結果が報告されています。
■長めの暗号カギ設定のみで、かなり強化できる
対策として有効なのは、総当り式でも現実的な時間で解読されないよう、暗号カギに用いる文字列をなるべく長く設定することです。たとえば、暗号カギの長さを128 bitに設定すると、1秒間に1テラ回の計算ができるコンピュータを使っても、すべての組み合わせを試すのに600兆年の1万倍という途方もない時間が必要になりますから、総当り方式を使っても実質的に解読は不可能と考えていいでしょう。
TKIPやAESで用いる暗号カギのデータ長は128 bit以上ですから、まずはこの点において、WEPよりも強固な暗号であるわけです。さらに、TKIPではIVのデータ長を48 bitとし、加えて一定時間ごとに暗号カギ(一時カギ)を変更して解読を困難にします。
また、WEPではすべての機器で共通だった暗号カギを、MACアドレスを利用することで機器ごとに設定できるなど、WEPに比べて格段にセキュリティが強化されています。TKIPも部分的には外部からの解読が可能とする研究結果が報告されていますが、通信している内容自体が解読されているわけではないので、現時点ではまだ安心して使えるものと考えてかまいません。AESは公開カギ暗号ではなく、暗号化と複合化に共通のカギを使う「共通カギ暗号」ですが、アメリカ政府が採用した強固な暗号化方式であり、現時点での解読手法は存在していないので、より安心して使うことができます。これが、前々回の最後で「可能な限りAESを使う」とした理由です。
実際にWi-Fi機器を設定する場合、親機側のセキュリティ設定メニューでは、WEPの他に「WPA-PSK(TKIP)」と「WPA2-PSK(AES)」が選択できるようになっているはずです。WPAはWi-Fi Protected Accessの略で、Wi-Fi Allianceが提唱するセキュリティ規格です。WEPの脆弱性問題が持ち上がったことで、IEEE(The Institute of Electrical and Electronics Engineers:電気電子学会)802委員会では、WEPに代わる新たな無線LANのセキュリティ規格「IEEE 802.11i」の策定作業が進められていたのですが、正式発行までに時間がかかってしまっていたため、その主要部分をまとめる形で先行してWi-Fi Allianceが公開したもので、暗号化方式はTKIPを採用しています。WPA2は、IEEE 802.11iが正式発行された後にその内容を取り込んだ規格で、暗号化方式がAESに変更されていることが最大の相違点です。
PSKはPre-Shared Keyの略で、WPAやWPA2で規定されている、認証サーバーを用いずに親機と子機が直接通信を行う「パーソナルモード」で、親機と子機の間で事前に共有しておく暗号カギを指します。
困ってしまうのは、携帯用ゲーム機などではWEPでしか接続できない機種も存在することです。そのような機器をWi-Fi接続するためには、親機側のセキュリティをWEPに留めておかなければならず、ゲーム機以外のWi-Fi機器もWEPで接続せざるをえなくなってしまうからです。対策としては、WEPとTKIP、AESを混在して利用できる親機を選ぶしかありません。バッファローでは「マルチセキュリティ」、NECアクセステクニカでは「マルチSSID」機能と呼ばれているので、対応製品を選んでおけば何かと安心ですね。
■ より効率良く暗号化
WPA/WPA2-PSKは、ユーザーが8〜63文字のパスワードを決めて、それぞれの機器に手動で入力・設定します。しかし、Wi-Fi機器ごとにいちいち長いパスワードを入力したり、親機と子機の間でどのようなセキュリティ規格が使えるかを確認するのは面倒なものです。そこで考案されたのが、バッファローの提唱する「AOSS(AirStation One-touch Secure System)に代表される、ネゴシエーションの自動化機能です。
AOSS対応機器は、「AOSSボタン」を押すだけでWi-Fiのさまざまな設定を自動的に行ってくれます。まず、子機側のAOSSボタンを押してから、親機側のAOSSボタンを押すと、以下のようなやりとりを行うことで安全な通信が可能な状態にしてくれます。
上の例では、子機であるスマートフォン側が802.11n/g(2.4GHz帯)、11g、11bに対応していて、親機であるWi-Fiルーター側は11n/g※、11g、11b、11aに対応しています。まず、子機側が使えるWi-Fi規格と周波数帯で通信可能な親機が、電波の届く範囲内にあるかどうかを探します。通信可能な親機を発見した子機は、親機が公開しているSSIDを指定して「接続させてください」というリクエストを出します。リクエストを受け取った親機は、「リクエストが来たということは、電波の周波数帯はお互いに同じものを使えますね。では、Wi-Fi規格はどのようなものが使用可能ですか?」と返信します。それに応えて、子機は「802.11n、11g、11bが使えます」と親機に伝えます。それを受け取った親機は、「では、お互いの間で最も高速に通信できる11nで通信しましょう」と子機に伝えます。
※「IEEE 802.11n」は、正確には周波数などの規格ではなく、802.11gならびに802.11aの高速化と安定化を目的とした規格です。それを用いて通信している状態は、厳密には「11n/g(11nで改善された11g)」などと表記されますが、これ以降は慣習的に「802.11n」としておきます。
使用するWi-Fi規格が決まったら、次はAOSS独自の方式で通信内容を秘匿化した上で、通信に用いる暗号方式の対応を確認します。具体的には、暗号として「強い」ほうから順番に「AES」「TKIP」「WEP」が使えるかを子機側に問い合わせます。上の例では、スマートフォンはAESには対応していないものの、TKIPには対応しているので、それを使って通信内容を暗号化することを決めます。
通信内容をTKIPで暗号化しながら、IDと暗号カギを確認します。ちなみにAOSSを使用する場合、MACアドレス制限は使用しません。これは、AOSSボタン押して設定したのにつながらないとユーザーが混乱するのを避けるための配慮です。最後に、親機自体が設定しているアクセス制限に子機が抵触していないことも確認します。ここまでの要件をすべて満たしたら、いよいよ子機=スマートフォンはWi-Fi経由で快適にインターネットを利用できることになります。
AOSSはバッファロー製品以外にも対応機器が増加中ですが、専用のボタンを持たないスマートフォンでも、アプリをインストールすることで手軽に利用できます。Android用、iPhone用ともに無償なので、以下のURLからお使いのスマートフォンに応じたアプリを選んで試してみてください。
【 参考情報 】
■バッファロー「スマートフォンにつないでトクするガイド 」
取材協力:株式会社バッファロー
AOSSと似た機能はWPAでも「WPS(Wi-Fi Protected Setup)ボタン接続」として規定されており、やはりSSIDの入力から通信の規格、パスフレーズ入力といった一連の作業を自動化してくれます。ただし、これらは親機(アクセスポイント)を自由に操作できることが前提の機能なので、今回のテーマである「スマートフォンを公衆Wi-Fiアクセスポイントで利用する」場合には使えないのが残念なところです。
■ 仕組みが分かったところで利用手続き
さて、いよいよ公衆Wi-Fiアクセスポイントを利用するための手続きをまとめてみましょう。まず最初に行うのは、自分が利用したい公衆Wi-Fiアクセスサービスの内容を把握することです。ひと口に公衆Wi-Fiアクセスサービスと言っても提供形態はさまざまで、(1)無料で誰もが自由に利用できるタイプ、(2)事前に会員登録が必要なタイプ、(3)その場で一日限りの利用契約を交わすタイプなどがあります。
(1)は個人経営の店舗などで提供されている場合が多く、また多くの場合はセキュリティ設定が何もなされていません。スマートフォンの「Wi-Fi設定」メニューで、店名などに設定されていることが多いSSIDを見つけたら、それを選択するだけで接続・通信が可能になります。ただし、この状態は「非常に便利」である引き換えに「セキュリティが皆無に等しい」状態であることを忘れないでください。オンラインバンキングや、クレジットカード番号の入力が必要になる類の操作は行うべきではありません。
(2)は現在最も多く普及している形態と思われ、携帯電話キャリア3社がそれぞれ提供している公衆Wi-Fiアクセスポイントもこの形態を採用しています。筆者が利用しているNTTドコモが提供する「spモード『公衆無線LANサービス』」では、以下のような流れで利用することになります。
a)パソコンやスマートフォンから「My docomo」にアクセスし、「各種お申込・お手続き」から「spモード『公衆無線LANサービス』」の利用を申し込む。
b)SSIDとWEPキーが提示されるので、それを記録する。
c)サービスが提供されている場所へ出向き、実際にWi-Fiで接続を行う。スマートフォンの「Wi-Fi設定」メニューで所定のSSIDに対して接続要求を行い、「パスワード」の入力が要求されたらWEPキーを入力する。場合によっては、それとは別にIDとパスワードの入力も要求されるので、あらかじめ「My docomo」で確認しておく。
一度接続が確立されれば、次回からはIDとパスワードの入力を省略することができます。ソフトバンクモバイル、auが提供しているユーザー向け公衆Wi-Fi接続サービスや、「FREESPOT」などの独立型サービスも、多くはこのような流れでの接続となっているので、アクセスに必要な情報をまとめたテキストファイルを作ってスマートフォンに保存しておくと便利です。また、Androidの場合は、ダウンロードできる公式の専用接続アプリを使うといいでしょう。
ただし、WEPでしか接続できないので、やはりオンラインバンキングや、クレジットカード番号の入力が必要になる類の操作は避けておくに越したことはありません。そのような操作が必要になった場合は、各携帯電話キャリアの3G回線に切り替えてからアクセスすることをおすすめしておきます。
著者プロフィール:松田勇治(マツダユウジ)
1964年東京都出身。青山学院大学法学部卒業。在学中よりフリーランスライター/エディターとして活動。
卒業後、雑誌編集部勤務を経て独立。
現在はMotorFan illustrated誌、日経トレンディネットなどに執筆。
著書/共著書/編集協力書
「手にとるようにWindows用語がわかる本」「手にとるようにパソコン用語がわかる本 2004年版」(かんき出版)
「記録型DVD完全マスター2003」「買う!録る!楽しむ!HDD&DVDレコーダー」「PC自作の鉄則!2005」(日経BP社)
「図解雑学・量子コンピュータ」「最新!自動車エンジン技術がわかる本」(ナツメ社)など
TDKは磁性技術で世界をリードする総合電子部品メーカーです