テクニカルコラム「第2回“ペネトレーションテスト(後編)”」

CTCテクノロジー株式会社(CTC教育サービス)

2012-05-31 08:00

伊藤忠テクノソリューションズ株式会社(略称:CTC)のグループ会社で、ITシステムの保守サポート、運用サービス及び教育サービスを提供するシーティーシー・テクノロジー株式会社(代表取締役社長:藁谷二郎、本社:東京都千代田区、以下:CTCテクノロジー)は表記コラムのバックナンバーを公開しました。原文は以下の通りです。
前回に引き続き、ペネトレーションテストについて紹介します。
前編では、事前調査/権限取得のペネトレーションテストで使用されるツールを紹介しました。後編では、無線LAN環境のペネトレーションテストで使用されるツールを紹介します。

無線LANでは電波を使用して通信を行うため、通信内容が第三者に傍受(盗聴)される可能性があります。このため、暗号化等のセキュリティ対策を実施していなければ安心して使用することができません。
そこで、無線LAN環境のペネトレーションテストでは、最初にセキュリティ設定が施されていない(脆弱な)アクセスポイントがないかを調査します。
「NetStumbler」を使用すれば、脆弱なアクセスポイントを簡単に見つけることができます。このツールは、アクセスポイントが定期的に発信している管理情報をキャッチし、その中からSSID(ネットワーク名)や暗号化設定の有無など、特に重要な情報を表示してくれます。

全てのアクセスポイントに暗号化設定がなされていても、まだ安心はできません。近年の暗号化解読技術の進歩により、暗号化方式の種類や設定内容によっては簡単に解読される可能性があります。無線LANの暗号化方式には「WEP」や「WPA/WPA2(TKIP/AES)」などがありますが、WEPの解読は非常に容易で、暗号化に使用しているキー情報(WEPキー)は数十秒~数分で解読されてしまいます。
一方、WPA/WPA2(TKIP/AES)であればWEPのように簡単には解読できませんが、使用しているパスワード(パスフレーズ)が単純な文字列の場合は、やはり解読されてしまいます。
そこで、「Aircrack-ng」のようなツールを使用して、アクセスポイントの暗号化設定に脆弱性がないかを調査します。「Aircrack-ng」は、収集した無線LANデータからWEPキーやWPA/WPA2-PSKのパスフレーズを解読するツールです。もし、このツールで解読できるようであれば、速やかに暗号化設定を変更する必要があります。

このように、ペネトレーションテストの最大のメリットは、システムのセキュリティ上の弱点(理論上のものではなく、実際に攻撃される危険性がある弱点)を発見できるという点です。
「どんなセキュリティ対策をすればよいのか分からない」、「セキュリティ対策の効果を実際に確認したい」という方は、ペネトレーションテストについて本格的に学習されることをお勧めします。

CTC教育サービスが提供する「無線LAN」関連コースは、無線LANへの攻撃手法や代表的な攻撃ツールの使用方法についても紹介していますので、ペネトレーションテスト学習の足がかりに最適です。

コースの詳細情報はこちら
「無線LAN」関連コース
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

CTCテクノロジー株式会社(CTC教育サービス)の関連情報

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]