コミュニティは力なり
公開日: 2007年8月22日
セキュそば勉強会
滝崎 芳枝 氏著
読者の皆さんこんにちは! 黒猫 Stacy こと、滝崎芳枝です。今年の 7 月に Windows−Security で MVP アワードを頂きました。
私は長野県でセキュそば勉強会
という、情報セキュリティ系の勉強会を主催しています。また、ニュースレターの第 27 号、28 号を執筆した TATSUYA 氏や望月 岳 氏と同じくセキュリティキャンプの卒業生です。セキュリティキャンプ講師の影響もあって今は趣味で無線 LAN のセキュリティについて専門的に研究していますが、普段は平凡な大学生をしています。ちなみに、28 号で書かれていた「IDS を開発していた女子高生」とは私のことです。女子高生が IDS ってびっくりされましたか? 女子大生が無線…でもびっくりなのでしょうか・・・。
それでは、まず私が運営しているコミュニティのセキュそば勉強会について紹介させていただきます。
1: セキュそば勉強会ってなんだ?
セキュそば勉強会とは、長野県で開催されている情報セキュリティ系の勉強会で、2004 年に第 1 回が開催され次回で第 10 回を迎えます。この勉強会は私の他にもう一人運営者がおり、現在女性2人で運営しています。
通常勉強会というと講師 1 人に対して参加者は受講者と言う形が多いですが、このセキュそば勉強会はそれぞれが持ち寄ったプレゼンによるディスカッションで進められるため、参加者全員が講師という特徴があります。このほか、1 泊 2 日の合宿形式で行われるため、夜遅くまで勉強会が続きます。そしてなにより、勉強会の名前からも分かるように長野県の特産でもあるお蕎麦など「食」にもこだわっています。毎回、美味しいお蕎麦とお酒をご用意して参加者の皆様をお待ちしております。参加者は高校生から社会人まで幅広く、男女も職種も問いません。参加者の皆さんの参加と協力で成り立っている勉強会です。ぜひ読者の方も一度参加してみてください!!
先ほど自己紹介で無線 LAN のセキュリティについて研究していると書きましたが、今回はその一部をご紹介したいと思います。
2 : 脆弱な無線 LAN がいっぱい
いきなりですが、皆さんは WEP が危険だという話は聞いたことがあるでしょうか?WEP というのは無線 LAN を利用する際に通信内容を暗号化する方式の一つですが、この WEP には脆弱性があり、ある条件のもとでは 1 分から 2 分で解読ができてしまいます。ちなみに、私自身が試してみたところ最速 2 分で解読することができました。WEP の危険性について言われはじめて久しいですが、未だに WEP を利用している人は沢山いるようです。今回は実際にどのぐらいの人が WEP を利用していて、なぜ使い続けているのかを調べてみた結果を簡単に報告させていただきます。
まず、環境アセスメントツールを使って実地調査を行いました。主に京都・名古屋・長野・東京で調査を行い、過去 1 年間に収集したデータの統計を出した結果、約 9 割が WEP を使った暗号化をしているか暗号化そのものをしていない危険なアクセスポイントであるということが分かりました。そこで、何故こんなにも脆弱なアクセスポイントが多いのだろう? と思い、実際にユーザーに向けてアンケートを行ってみました。
アンケートの質問項目には「WEP は何分で解読できると思いますか?」という質問を入れておきました。回答者の半数以上が、5 分以内で解読できるという回答をしていました。またその 9 割は無線 LAN アクセス ポイントの自動設定機能を使わずに、手動で設定していることも分かりました。この 2 つの項目より、回答者が比較的セキュリティに対する意識が高い人たちだと言うことが推測できます。それにも関わらず、「どのような暗号方式を採用していますか?」という質問に対しては、約 4 割が WEP による暗号化を使っていると回答しました。WEP を使っているのは何故かと言う質問項目に対しては、無線 LAN に接続しているゲーム機などが WEP にしか対応していないので仕方なく WEP を使っているという意見が出てきました。
そこで、そのゲーム機メーカーの開発技術部の方に何故 WEP にしか対応していないのかを質問してみました。メーカーからの回答では、会社の方針としてそのときの標準的なインフラを採用するようにしており、開発開始当時では WEP がもっとも標準的な方式だったので WEP を採用したとの回答を頂きました。市販されているアクセス ポイントのマニュアルを見ると WEP の脆弱性についての記述があり、できるだけ安全な WPA や WPA2 を利用するように書いてあります。他にも自動設定機能の初期値を WPA2 にして、簡単に設定ができるような工夫もされています。しかし、一部のコンピュータ誌の無線 LAN 特集では WEP の脆弱性には一言も触れず、暗号化の設定も WEP で行うように書いてあるものもあり、安易に WEP に設定するように誘導してしまっているようにみえます。
これらのことを踏まえてまとめてみると、なぜ WEP を使い続けるのかということが見えてきました。大きく分けると次の 7 つの項目になります。
1. | WEP にしか対応していない機器がまだある |
2. | 見られるだけでなく悪用されるというところまで考えが及んでいない |
3. | 雑誌などでも無線 LAN 特集では未だに WEP で暗号化するように言っているものがある |
4. | まだ使える (動く) のに買い換えるなんてもったいない! |
5. | WPA/WPA2 は設定が大変そう |
6. | 暗号化されていれば電波法の抑止効果がある |
7. | メーカーは対策させようと工夫しているように見える |
この結果が全てと言うわけではありませんが、ユーザー側の意見が多少でも引き出せたのではないかと思っています。
今後の課題としては、WPA/WPA2 の普及にはユーザーだけでなくもっと周囲から攻めることも必要なのではないかと思いました。今回のように WPA/WPA2 に対応してほしいとメーカーに訴えたり、WPA/WPA2 を使った設定方法を紹介したりするなど、ユーザーが影響を受けるものに変化を与えられると普及して行くのではないでしょうか。たとえば、WEP の危険性を知ってもらうために小さくても数多くの記事でユーザーに訴えたり、各地の勉強会で発表したりしていくことで、ユーザーとメーカーの双方に少しでも影響を与えられたらいいなと思っています。
3 : コミュニティって素敵!
今回のアンケートは勉強会などで知り合った皆さんにお願いして回答してもらったり、アンケートの存在を広めたりしていただきました。その結果、2 週間もかからずに約 200 もの回答が集まりました。短期間でこれほどの回答を集めることができたのは、コミュニティ参加者の皆さんのお陰です。勉強会やイベントと言うのは沢山のつながりを作ることができ、今回のように自分ひとりでは困難なことも、沢山の人が集まれば実現できることがあります。コミュニティのつながりというのは参加したその場限りではなくて、その後も続くものです。そして、そこでできた繋がりはかけがえのないものになります。
まだ勉強会やイベントに参加したことがないと言う方は、ぜひ 1 度参加してみてください! きっと、どのコミュニティもあなたを温かく迎えてくれると思いますよ。
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。
