今ではほとんどのオフィスでWi-Fiネットワークが導入されています。時には複数ある場合もあります。今どきノートPCをケーブル接続したい人はまずいませんし、そもそもスマートフォンやタブレットもあります。しかしながら、無線ネットワークは企業のITインフラのウィークポイントとなる可能性があります。
パスワードマイニング
無線ネットワーク用に複雑なパスワードを作成し、しかもそれを使い回さないようにする…すべての企業がそうしているとは限りません。ネットワーク名のブロードキャストをわざわざ無効に設定している企業もわずかです。また、オフィス外からネットワークに接続できないように、Wi-Fi信号の強度を制限している企業も決して多くありません。よって、オフィスの近くをうろついてWi-Fi接続経由で企業ネットワークに侵入しようとする攻撃者を防ぐことは、ほとんどできないのが実状です。
ルーターのログイン情報を得るために、単純な辞書攻撃を実行するのにかかる時間はわずか数秒です。複雑なパスワードをハッキングする場合は、それより時間がかかりますが、攻撃者が急いでいなければハッキングに時間をかける可能性は十分にあります。さらには、パスワードのハッキングが必要ない場合もあります。ルーターによっては、攻撃者はファームウェアの脆弱性を利用するだけで済むことがあるからです。
ファームウェアの脆弱性
Wi-Fiルーターのパスワードやその他保護メカニズムを迂回し、企業ネットワークに侵入することを許すような脆弱性は、リサーチャーたちによって定期的に検知されています。場合によっては、犯罪者がデバイスのスーパーユーザー権限を取得してしまうこともあります。通常はすぐに開発元から脆弱性のパッチが提供されますが、問題は、適切なタイミングでパッチをインストールしない企業が少なからずあることです。特にファームウェアの更新が同時に必要になる場合、パッチの適用は遅れがちです。
ゲスト用ネットワーク
多くの企業では、社員向けと来訪者向けに別々のWi-Fiネットワークを用意しています。こうすることで、顧客やオフィスへの来訪者がインターネットには接続できても、企業ネットワークや内部リソースにはアクセスできないようにするのです。しかしながら、ゲスト用Wi-Fiもリスクがないわけではありません。
ゲスト用ネットワークのパスワードを入手するのは、そんなに難しくありません。また、ネットワークの設定が適切でない場合、ゲストが企業インフラの一部にアクセスできてしまう可能性があります。
ネットワークの設定が適切であっても、社員がうっかり危険を招いてしまうこともあります。たとえば、ある社員が、会社の方針でアクセスできないようになっているネットワークリソースにアクセスしようとした場合を考えてみます。この人が、深く考えないまま、機密データの入ったノートPCをゲスト用ネットワークに接続したとしましょう。同じゲスト用ネットワーク内に潜んでいた攻撃者は、中間者攻撃を仕掛け、その社員のノートPCにマルウェアを感染させることが可能です。
企業のWi-Fiネットワークをより安全にするには
当社では、それでもWi-Fiネットワークは有益なものだと考えています。とはいえ、デバイスの設定と企業ネットワークの設定、いずれにおいてもセキュリティを重視したアプローチが必要であることは間違いありません。
- Wi-Fiルーターおよびアクセスポイントのファームウェアを更新し、常に最新の状態に保ちましょう。メーカーは絶えず脆弱性の修正を行っています。問題なく機能するからといって安全であると思い込まないでください。
- Wi-Fiにアクセスするパスワードは長く複雑なものにして、使い回さないようにしましょう。社員がそのパスワードを入力する必要があるのは、デバイスにつき1回だけです。強固なパスワードにすれば、ネットワークをハッキングしにくくなります。
- ネットワークにオフィス外からアクセスできないよう、信号の強度を制限しましょう。
- ネットワークが容易に見つけられないよう、ネットワーク名を非表示にしましょう。
- ネットワーク名には、あからさまにわかるものや容易に推測できるようなものを使わないようにしましょう。また、ネットワーク名にルーターの型番を入れないようにしましょう。攻撃者が、ルーターの型番情報から既知の脆弱性を探し出す可能性があります。
- ゲストが内部リソースにアクセスできないようにするため、ゲスト用ネットワークは分離させましょう。来訪者にとっての利便性は低くなりますが(会社のプリンターで文書を印刷できないなど)、データ漏洩のリスクは大幅に軽減できます。
- 仮に攻撃者がネットワークに侵入したとしてもワークステーションやサーバーに深刻な被害が生じないよう、信頼できるセキュリティ製品を使用しましょう。