働き方改革や新型コロナウイルスの感染拡大に伴い、多くの組織でテレワーク・リモートワークの普及が進んでいるが、併せてこのテレワーク・リモートワーク環境におけるサイバーセキュリティインシデントも増加している。そのテレワーク・リモートワーク環境で使われる無線LANに着目し、無線LANアクセスポイントを利用する機会の多い「駅」において、利用可能な無線LANアクセスポイントの電波の暗号化対策の運用況把握を今回の調査目的とした。公衆無線LANを利用する場合、この公衆無線LANアクセスポイントに悪意があれば、通信データの盗聴・改ざんされる恐れがある。
調査にあたっては、株式会社ベルウクリエイティブのWi-Fi検証サービス「BWiS」の測定端末及びポータルサイトを利用し、Wi-Fi電波の収集・測定及び分析を実施した。
測定地点は、山手線の8駅(東京駅、秋葉原駅、上野駅、池袋駅、新宿駅、渋谷駅、品川駅、新橋駅)のホーム中央。調査期間は、2022年7月27日~8月2日である。密集状態を避けるよう、細心の注意を払って測定した。
この調査では、「公衆無線LAN」に加え、「公衆無線LAN以外の無線LANアクセスポイント」でも測定している。「公衆無線LAN」の定義は、有償サービスであるか、無償サービスであるかに関係なく、不特定多数の者が利用可能なものと定義した。また、「公衆無線LAN」のSSIDをまとめた公的な資料はないため、SSIDが以下の基準に合致するものは、「公衆無線LAN」であるとみなした。
①インターネット上に公開されているもの
②「guest」「free」の文字列を含むもの
③ホテルの名称を含むもの
なお、この調査では21,423件の無線LANアクセスポイントのデータを収集したが、暗号化方式が不明な7,281件を除いた14,142件を暗号化方式の判別対象とした。
■無線LANアクセスポイント全体のうち、暗号化していないものは7.9%。
調査の結果、公衆無線LANと公衆無線LAN以外を合計した無線LANアクセスポイント全体 14,142件のうち、「Open」(暗号化していないもの)は1,122件あり、全体の7.9%を占めた。また、暗号化しているが容易に第三者に盗聴される暗号化方式「WEP」は137件あり、1.0%を占めた。この結果、無線LANアクセスポイント全体の約9%が、容易に第三者に盗聴される方式であった。
駅別に見ると、新橋駅及び秋葉原駅の「Open」方式の割合が、他の駅に比べ1.5倍から3倍程度という結果であった。
■公衆無線LANのアクセスポイントのうち、暗号化していないものは38.1%。
対象を「公衆無線LAN」に絞ると、公衆無線LANのアクセスポイント 2,235件中、「Open」(暗号化していないもの)は851件あり、全体の38.1%を占めた。また、暗号化しているが容易に第三者に盗聴される暗号化方式「WEP」は、1つもなかった。
駅別で見ると、品川駅及び渋谷駅の「Open」の割合が、他の駅に比べ10%以上低い結果となった。
■公衆無線LAN以外のアクセスポイントのうち、暗号化していないものは2.3%。
最後に、「公衆無線LAN以外」の無線LANアクセスポイントの暗号化状況は、次のとおりである。「公衆無線LAN以外」は、個人所有等のモバイルルータと、企業等の組織が業務用に特定の利用者に提供している無線LANアクセスポイントが該当する。
公衆無線LAN以外の無線LANアクセスポイント11,907件中、第三者に盗聴さにくい暗号化方式の「WPA2」は10,786件あり、全体の90.6%を占めた。また、「WPA3」は679件あり、全体の5.7%を占めた。「Open」(暗号化していないもの)は271件であり、全体の2.3%という状況だ。暗号化しているが容易に第三者に盗聴される暗号化方式「WEP」が137件あり、1.2%を占める。駅別では、大きな違いは見られなかった。
今回の調査はJR山手線の8駅に絞った調査であるため、それをもって無線LANアクセスポイント市場全体を論じることはできない。だが、14,142件の無線LANアクセスポイントを測定した結果、特に公衆無線LANを中心に、暗号化状況にまだまだ課題があることは読み取れるだろう。
特に、「公衆無線LAN」をより安全に使ってもらうために、所轄官庁や業界団体には、「利用者への啓発」、「サービス提供側への対策指示」、「サービス提供側から利用者への注意喚起」などを今後も呼び掛けてもらうことを期待したい。
ICT総研では今後も、ユーザーが利用するさまざまなシーンを想定し、ユーザーにとって指標となる実測データを定期的に提供していく方針である。
このプレスリリースの付帯情報
用語解説
【本資料の調査結果・データについて】
*本資料における全ての文章、数値、表、データは、調査実施時点のものである。
*本資料に記載された文章、グラフ等を報道、各種ホワイトペーパー、セミナー資料、学術研究資料等に転載する場合は、「ICT総研調べ」「出典:ICT総研」などの表記を加えて下さい。
【技術提供会社】
株式会社ベルウクリエイティブ
〒103-0013 東京都中央区日本橋人形町3-3-9 久米ビル5F
ホームページ: (リンク »)
株式会社ベルウクリエイティブは、情報セキュリティのプロフェッショナル集団として、高度な技術をいかした情報セキュリティサービス(セキュリティ診断、ペネトレーションテスト、PCIDSSなど)、情報セキュリティソリューション、情報セキュリティコンサルティングをグローバルに提供する企業です。
顧客要望に合わせて、セキュリティアセスメントからセキュリティ運用まで一気通貫の支援ができることを強みとし、独自のセキュリティサービス『BWiS』、『SPM(セキュア・パッケージ・マネージメントサービス)』の開発および提供を行っております。
■本リリースに関するお問い合わせ先
株式会社 ICT総研 広報担当
〒103-0004 東京都中央区東日本橋2-27-24 イクソン日本橋ビル4階
TEL:03-6206-0941 ホームページ: (リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。