ニンテンドー DSi が無線 LAN セキュリティとして WPA, WPA2 に対応していることを書きましたが、よく考えたら暗号化技術についての投稿がなかったので、ついでにまとめておきます。
無線 LAN って暗号化しないとダメですか?
よく、無線 LAN のアクセスポイント (AP) からモバイル機器に向かって稲妻が飛んでいる絵をよく見ます。あれを見ると、なんだか電波がお互いの間にだけ一直線に飛んでいるように思えますが、実際には、アンテナから四方八方に向かって電波は放射状に出ています。 ((無指向性アンテナの場合。無線 LAN にも、中には指向性アンテナを持ったタイプもある))
ということは、悪意のある第三者がそばにいると、少なくともその電波を別のアンテナで傍受して “盗聴” することはできてしまうわけです。しかし、暗号化されていることで、たとえ見られても容易には中身がわからなくなります。
物理的な錠前でも、スーツケースにあるようなナンバーロック、特に 3桁のものはすぐに破られてしまいますね。南京錠にすると、鍵が必要だが偽造もこじ開けるのも容易、さらにドアにつけるシリンダー錠は、いつか開けられるが時間がかかる…とエスカレートしていきます。つまり錠前の種類によって、悪意の第三者による開けられにくさが違ってきますが、高価になっていきます。
暗号化技術というのは鍵や錠前の種類にあたり、一般的に使われているものは 3種類あります。
- WEP … 弱いけど安上がり。古くからあるので対応機器は多い
- WPA … WEP よりは強力。ソフトで安く暗号化するか、ハードウェアで強力な暗号化を施すか選べる
- WPA2 … WPA よりも強力だがコスト高
WEP はいまや一瞬にして破られる
WEP はナンバーロックだと思えばよいでしょう。桁数にあたる暗号化キーの長さというものがやっぱりあります。長さ 40ビット (64ビット) の WEP は 3桁ロックみたいなもので、最もたやすく破られてしまいます。
104ビット (128ビット) WEP にするのは 4桁ロックに交換するようなものです。PC のマシンパワーが足りなかった頃は実質的に解読不可能だったのですが、2001年に時間はかかるものの解読する方法が発表され ((FMS 攻撃)) ました。2007年4月には、わずか 60秒たらずで解読できるようになり ((PTW 攻撃)) 、そしてとうとう、2008年10月には 104ビット WEP をたったの 10秒で解読可能だと神戸大と広島大のグループが発表しました。
機器がすべて対応していなければ WPA / WPA2 には移行できない
理想的には、事実上、暗号化されても内容が丸見え同然の WEP をやめて、WPA2 にさっさと移行したいところです。
ところが暗号化方式は鍵と錠前の関係と同じで、あわてて無線 LAN のアクセスポイント側だけ WPA2 にしても、接続しようとするクライアントも同じように WPA2 をサポートしている必要があります。
接続しにくる機器が PC だけなら今日の無線 LAN インターフェースは WEP/WPA/WPA2 すべてに対応のため WPA2 にそろえることができます。
ところが、国内で 2000万台も普及しているのに、いまだに WEP にしか対応していない機器があります。それがニンテンドー DS です。
基本的には、アクセスポイント側はどれか一つの暗号化方式しか選べないため、ニンテンドー DS とノート PC をつなぎたい場合、低い方に合わせて WEP を選ぶしかなくなります。
マルチセキュリティはネットワーク全体を危険にさらす
もっとも、最近ではバッファロー製品のように、マルチセキュリティと称して 1台のアクセスポイントで複数の暗号化セキュリティを選べる機器も出てきています。
たしかに接続することはできます。しかし、
- ニンテンドー DS – アクセスポイント間の通信をサンプルとして傍受される
- 10秒以内に 104ビット WEP の鍵を推測される
- 別の PC を用意して、アクセスポイントに WEP でアクセスされる
- 自宅のネットワークを荒らされたり、ネットに出て行くための踏み台に使われたりする
といった手順で悪用される恐れがあり、いくらマルチセキュリティ対応でも、WEP で入れる設定にしているかぎり、堤防に穴があいているのと同じ状態なのです。
DSiはWPA対応ですが、従来のDS用Wifi-コネクションソフトを使うとWEPでしか通信できません。
ありがとうございます。DS 用ソフトでは TCP/IP か無線 LAN 接続のためのミドルウェアが、DS 用ソフト側 (Wifi コネクションソフト側) にあるんだと思います。