PR
図1-1●WEPとダイナミックWEPの違い<br>無線LANでは,同じアクセス・ポイントを使うすべてのユーザーが同じ暗号化鍵を使う。公衆無線LANサービスでは暗号化鍵が公開されているので,データを暗号化しても簡単に復号,盗聴されてしまう。これに対し,IEEE802.1Xによって実現されるダイナミックWEPを使うとユーザーごとに異なる暗号化鍵を使えるようになるので盗聴されにくくなる。
図1-1●WEPとダイナミックWEPの違い<br>無線LANでは,同じアクセス・ポイントを使うすべてのユーザーが同じ暗号化鍵を使う。公衆無線LANサービスでは暗号化鍵が公開されているので,データを暗号化しても簡単に復号,盗聴されてしまう。これに対し,IEEE802.1Xによって実現されるダイナミックWEPを使うとユーザーごとに異なる暗号化鍵を使えるようになるので盗聴されにくくなる。
[画像のクリックで拡大表示]
図1-2●公衆無線LANサービスのエリアでは,ほかのパソコンが見えないしくみが導入されている&lt;br&gt;公衆無線LANサービスでは,同一アクセス・ポイントに接続しているパソコン同士が通信できないようにしている。実現方法は二つある。
図1-2●公衆無線LANサービスのエリアでは,ほかのパソコンが見えないしくみが導入されている<br>公衆無線LANサービスでは,同一アクセス・ポイントに接続しているパソコン同士が通信できないようにしている。実現方法は二つある。
[画像のクリックで拡大表示]

公衆無線LANサービスには,家庭やオフィスで使う無線LANとはひと味違うさまざまな工夫がこらしてある。こうした工夫は,公衆無線LAN事業者によっても異なる。ポイントは,(1)セキュリティ対策,(2)ユーザー認証,(3)パソコンに割り当てるIPアドレスの種類,(4)インターネットへの接続経路,(5)アクセス・ポイント共用で電波を節約−−の五つだ。

 そこで今回は,これら五つのポイントを,NTTコミュニケーションズのHOTSPOT,日本テレコムのBBモバイルポイント,ライブドアのlivedoor wireless,無料サービスのFREESPOTを例に解説していく。

●ポイント1
セキュリティ対策

 公衆無線LANサービスを使うには,まずサービスで決められたESS-IDのアクセス・ポイントを探索し,接続する。ここで必要なのが,通信の暗号化だ。

 無線LANは電波でデータをやりとりするため,電波を傍受して解読すれば,比較的容易に通信を盗聴できる。FREESPOTなどの無料サービスでは,まったく暗号化していないエリアもある。これでは盗聴を防げない。そこで,多くの無線LANサービスは固定のWEPキーを使う128ビットのWEP方式*で暗号化する方法を採っている。

 ただ,家庭なら128ビットのWEP方式で十分なセキュリティを確保できるが,公衆無線LANサービスでは問題がある。それは,公衆無線LANサービスではユーザー全員が同じWEPキーを使う点だ。つまり,WEPキーが知れ渡っているのである(図1-1[拡大表示])。WEPキーは,他人に知られていないから意味がある。WEPキーがわかってしまえば,暗号化データを復号するのは簡単だ。

より安全なIEEE802.1X方式


 そこで,安全性をより高めるためにIEEE802.1X*を活用するサービスもある(図1-1)。IEEE802.1Xは,「サプリカント」と呼ばれる専用ソフトと認証サーバーを使ってユーザーを認証する技術。公衆無線LANサービスでは,認証後にユーザーごとに異なるWEPキーを発行するダイナミックWEP*という方式で通信を暗号化している。

 IEEE802.1Xを使うには,あらかじめパソコンにサプリカントをインストールし,公衆無線LANサービスのユーザーIDとパスワードを設定しておく。

 公衆無線LANサービスにつなぐ際は,まずサプリカントを起動する。すると,サプリカントが事業者のセンターにある認証サーバーにIDとパスワードを送信する。認証サーバーは認証が完了すると,各ユーザーに異なるWEPキーを発行。サプリカントはこのWEPキーを使って無線LANに接続する。

 無線LAN接続中は認証サーバーから一定時間ごとに新たなWEPキーが送られてきて,自動的にWEPキーが変更される。そのため,悪意のある第三者が無線LANの電波を傍受しても,データを復号するのはほぼ不可能だ。

 ダイナミックWEPを採用しているのは,HOTSPOT,Mzone,フレッツ・スポットなど。livedoor wirelessでも導入を検討中だ。

エリア内のパソコン間で通信させない


 もう一つ必要なのがエリア内の別のパソコンからの不正アクセス対策だ。エリア内ではユーザー同士が一つの無線LANにつながる格好になるため,ほかのパソコンから自分のパソコンが見えたり,共有フォルダに不正アクセスされる危険がある。そこで,公衆無線LANサービスでは2通りの方法でこれを防いでいる(図1-2[拡大表示])。

 一つは,アクセス・ポイントがブロードキャスト・フレーム*を無線LAN側に中継しない方法。パソコンが別のパソコンにアクセスする場合,目的のコンピュータ名やIPアドレスを指定してARP*要求パケットをブロードキャストする。すると,通常は該当のパソコンがARP応答パケットを返す。これを受け取ることで目的のパソコンのMACアドレスがわかり,通信できるようになる。

 しかし,公衆無線LANサービスのアクセス・ポイントはブロードキャスト・フレームを無線LAN側に中継しない。こうするとARPが機能しないので,通信できない。

 もう一つは,配下のパソコンから送ってくるパケットを一切別のパソコンに転送しない方法。サービスによってはアクセス・ポイントとの通信経路をパソコンごとに区切り,パソコン間の通信を完全に遮断している。