皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日でしたでしょうか。Wi-Fi（無線LAN）で使われる暗号化技術の『WPA2』の脆弱性が発見された報道が流れました。

報道によると、次のような内容が書かれています。

Wi-Fiの暗号化技術WPA2の脆弱性

WPA2における脆弱性は全部で10件あるようで、クライアントである機器とWi-Fiのアクセスポイントが接続を確立する際に行われる『4ウェイ・ハンドシェイク』プロセスに起因するもののようです。

このプロセスでは、暗号化通信を行うためにクライアントとアクセスポイントとの間において認証や暗号鍵の生成などのやりとりが行われますが、暗号化されたはずのデータが解読されたり、悪意のあるサイトに誘導され、データを盗み出されてしまうことを可能にしてしまう脆弱性があるようです。

また、これらの脆弱性に関してはWPA2を使用しているすべての機器に影響します。

WPA2の脆弱性に対する各社の対応

この『WPA2の脆弱性』に対する対応ですが、Wi-Fi規格の標準化団体であるWi-Fi Allianceの見解ではソフトウェアパッチで対応可能としており、Microsoft（マイクロソフト）やApple（アップル）においては最新のアップデートにて対応済みのようですが、Wi-Fi（無線LAN）ルータのメーカーなどにおいては現在対応を進めている最中のようで、自社で使用しているWi-Fi（無線LAN）ルータのメーカーからの最新情報をこまめにチェックし、対応パッチがリリースされたらすぐにアップデートをしておく必要性があるでしょう。

（機器の設定などによっては自動でアップデートされる場合もあります。）

注意として、WPA2に脆弱性があるからと言って暗号化を一時的にWEPなどにしてしまうことはせず、そのままWPA2を使い続けるべきです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、ある男性が、近所の男性が使用するWi-Fi （無線LAN）の電波を傍受し、暗号鍵を勝手に解読してインターネットに『ただ乗り』接続したとして、電波法違反などで起訴されました。

この男性、一部は確かに罪を認められたものの、一部は無罪という結果となりました。

それは何故でしょうか？

Wi-Fi（無線LAN）のただ乗りが無罪に

この男性が罪に問われたものとして、1つは暗号鍵を解読してインターネットに『ただ乗り』したもの、もう1つは『ただ乗り』したインターネット回線を使い、銀行の偽サイトに誘導するメールを企業などに送り、騙された受信者が打ち込んだIDやパスワードを使って自分の口座に数百万円を送金させたというものがありました。

この裁判での判決、後者は当然有罪となりましたが、前者に関しては無罪となりました。

現行法においてはWi-Fi（無線LAN）の『暗号鍵の解析』を禁止する法律は存在せず、Wi-Fi（無線LAN）の『暗号鍵の解析』と『ただ乗り』に関しては罪に問えなかったのです。

これ、Wi-Fi（無線LAN）が暗号鍵のないオープンなものであった場合には他者がアクセスしても違法にならないことと、電波法の通信の秘密とは、通話やメールなど具体的な通信内容のことで、通信の入り口となる暗号鍵は当てはまらない、というものが組み合わさったものでしょう。

WEPは使わずWPA/WPA2を使え

この事件のいて無断利用された時の暗号化方式は『WEP』でした。

そして、現在においてもWi-Fi（無線LAN）に暗号鍵を設定していないところは20%以上あり、古い暗号化方式である『WEP』を使っているところは15%弱も存在します。

昨今販売されているWi-Fi（無線LAN）ルータの初期値は『WPA』や『WPA2』になっていますが、選択肢としては『WEP』も残っています。

また、古いものを継続利用している場合には『WEP』のままになっていることも考えられます。

このような事件を考慮し、今一度『WPA』もしくは『WPA2』の設定になっていることを確認し、自身で安全を確保することが必要になります。

ちなみに、Wi-FI（無線LAN）に関する望ましい設定に関してはこのブログにて過去に掲載してありますので、一度探して参考にしてみて下さい。