これまで社内LANと言えば、ケーブルで接続された有線LANが定番だったが、最近は無線LAN、Wi-Fiネットワークを導入している企業も多いだろう。企業で使われるPCもデスクトップからノートが増えつつあるうえ、スマートフォンやタブレットも使われている。無線LANであれば、スマートフォンもタブレットも簡単に接続できる。
しかし、カスペルスキーは公式ブログで企業内の無線LANは攻撃者を呼び込むウィークポイントになるとして、注意を呼びかけている。ブログでは、無線LANのリスクとして3つ紹介している。
1つ目のリスクは「パスワードマイニング」だ。有線LANと比べて、無線LANのセキュリティが緩い企業も多いのではないだろうか。無線LANのセキュリティ対策としては、「ネットワーク名のブロードキャストを無効にする」「複雑な無線ルータのパスワードを作成する」「オフィス外から接続できないように、Wi-Fi信号の強度を制限する」などがあるが、これらを網羅できているだろうか。
これらの対策が講じられていない場合、オフィスの近くをウロウロすれば、Wi-Fi接続経由で企業ネットワークに侵入されてしまうこともありうる。
ブログでは、ルータのログイン情報を得るために、単純な辞書攻撃を実行するのにかかる時間はわずか数秒しかかからないと指摘している。さらに、ルータによってはファームウェアの脆弱性を悪用するだけで、データを窃取できるので、パスワードのハッキングさえ必要ないという。
2つ目のリスクは先に述べたが「ファームウェアの脆弱性」だ。無線ルーターのパスワードやその他保護メカニズムを迂回し、企業ネットワークに侵入することを許すような脆弱性は、リサーチャーたちによって定期的に検知されている。こうした脆弱性の中には、攻撃者がデバイスのスーパーユーザー権限を取得することを可能にしてしまうものがある。
脆弱性が発見されると、大抵は開発ベンダーから修正パッチが提供される。しかし、そのパッチを企業が迅速に適用とするとは限らないのが問題だ。ファームウェアの更新が同時に必要になる場合、パッチの適用は遅れがちだという。
3つ目のリスクは「ゲスト用ネットワーク」だ。最近は、社員用とは別に来訪者用の無線LANを構築している企業も多い。ゲスト用の無線LANはインターネットには接続できるが、企業ネットワークや内部のリソースにはアクセスできない。ただし、ゲスト用の無線LANもリスクがないわけではない。
ゲスト用無線LANのパスワードを入手するのはそれほど難しくはなく、ネットワークの設定が適切でない場合、ゲストが企業インフラの一部にアクセスできてしまう可能性がある。
さらに、ネットワークの設定が適切であっても、社員がリスクを生むこともある。例えば、社員が機密データが入ったノートPCをゲスト用無線LANに接続した時、攻撃者がゲスト用無線LANに潜んでいたら、中間者攻撃を仕掛けてその社員のノートPCにマルウェアを感染させることができる。
こうしたリスクを防ぐ方法として、ブログでは以下を紹介している。
- 無線ルータおよびアクセスポイントのファームウェアを更新し、常に最新の状態に保つ
- 無線LANにアクセスするパスワードは長く複雑なものにして、使い回さないようにする
- 無線LANにオフィス外からアクセスできないよう、信号の強度を制限する
- ネットワークが容易に見つけられないよう、ネットワーク名を非表示する
- ネットワーク名には、ルータの型番を入れない。攻撃者が、ルーターの型番情報から既知の脆弱性を探し出すおそれがある。