“危ない無線LAN”をなくすための5大セキュリティ対策：「無線LAN」をサイバー攻撃から守る【後編】

攻撃者は古くから存在する攻撃手法を応用し、さまざまなアプローチで企業の無線LANを攻撃する。そうした攻撃手法と、具体的な防御策を知ることで、無線LANのセキュリティを強化する方法を学ぼう。

[Peter Loshin，TechTarget]

可用性を脅かす攻撃

　情報を盗むことだけがサイバー攻撃の目的とは限らない。妨害行為を目的とする攻撃もある。その一例が、標的となるサーバなどのリソースに負荷をかけてサービスを止めることを狙ったDoS（サービス妨害）攻撃だ。

　DoS攻撃は、機器を物理的に盗むより影響が大きい半面、攻撃者が背負うリスクは低い。正規ユーザーのアクセス遮断、有害トラフィックによるフラッディング（許容量を超えたトラフィックの流入）、アクセス妨害など、無線LANに対するDoS攻撃にはさまざまな手法がある。

　無線LANルーターや無線LANアクセスポイント（AP）を盗む攻撃も、無線LANの可用性を脅かす。APや無線LANルーターを盗まれると、認可ユーザーがネットワークにアクセスできなくなり、盗まれた機器の再設置コストもかかる。

無線LANへの攻撃対策

併せて読みたいお薦め記事

連載：「無線LAN」をサイバー攻撃から守る

• 前編：無線LANにつながる全デバイスを危険にさらす「スプーフィング」攻撃とは
• 中編：無線LANの不正APを使った攻撃「悪魔の双子」「APフィッシング」とは

無線LANが抱えるリスク

• 「IEEE 802.11a／b／g」時代の無線LANを使い続けるべきではない理由
• 本当は怖いテザリング　リスクと対策は

無線LANのセキュリティプロトコル「WPA3」とは

• “危ない無線LAN”が嫌なら「WPA3」を使うべきこれだけの理由
• 無線LANの新プロトコル「WPA3」　「WPA2」との違いは？
• 無線LANを安全にするはずのWPA3に見つかった脆弱性「Dragonblood」とは？

　無線LANへの攻撃を防ぐ手段としては以下の5種類がある。

• 多層防御
  • 攻撃者がセキュリティ制御を回避できたとしても、無線LANを侵入口とする攻撃を阻止できる可能性が高まる。
• 脆弱（ぜいじゃく）性評価による攻撃対象の明確化
  • 全てのAPを列挙し、それらのAPから到達可能なネットワークリソースを特定する。脆弱なアクセス機器の盗難を防ぐためにも不可欠だ。
• AP設定の権限設定（ロックダウン）
  • 廃止された、または非推奨のプロトコルや暗号化アルゴリズムは脆弱であり悪用されやすいため、無効化する必要がある。特にセキュリティプロトコル「WEP」（Wired Equivalent Privacy）、「WPA」（Wi-Fi Protected Access）は無効にすべきだ。
• 無線LANを構成するシステムの更新プログラムやパッチの適用
  • これらを適用していないデバイスには脆弱性が残り、悪用される危険が増す。
• 二要素認証や多要素認証（MFA）の導入
  • 無線LANのアクセス制御を脅かす攻撃の防御だけでなく、アクセス権の入手から始まる他の攻撃の防御にもつながる。