クレジット業界がデータセキュリティ基準の変更を行うそうです。
新規定では2010年以降、カード情報を店頭の端末からサーバに送るといった情報処理の過程で、無線通信の暗号化技術WEPを使うことを一切禁止しています。
さらに2009年3月31日以降はWEPを使った新システムを導入することも禁止されました。
WEPの脆弱性は以前から指摘されていましたが、既存システム利用のためにWEPはまだ広く使われているのが現状です。
SSIDブロードキャストを無効にしたり、MACアドレスフィルタリングと併用したり・・・いろいろと策はあるのですが、侵入者に技量があれば、それらも気休め程度の効果しかありません。※1
とはいえ、そのレベルの攻撃者にピンポイントで狙われる危険性はどれくらいあるのか?実際に攻撃を受けたときの損害は甚大なのか?ということも総合的に考えた上で、既存のシステムを有効利用しているケースもあります。
しかし先日、WEPを一瞬で解読する方法を考案・実証したと神戸大学と広島大学の研究者グループが発表しました。一般的な環境で簡単に解読でき、普通のWindowsマシンで動作するプログラムも近く公開予定といいます。
今後解読の敷居が低くなることで、脅威がより身近になってしまわないと良いのですが・・。
「有線と同等なプライバシー(Wired Equivalent Privacy)」という名前が付けられたWEPですが、事情が変わってしまいました。
無線LANは有線LANよりもセキュアであると語る専門家もいます。しかしそれは専門家がきちんと設計設定し、かつ常に管理する場合です。
正しく設定しても、常に最新のセキュリティを保つ必要があるのが無線LANです。ご自宅・御社の無線LANは大丈夫ですか?
※1 これは侵入者にかなりの技量があることを想定しています。興味本位で行われるような侵入に対しては、複数の対策を施すことも効果的です。それで以前の記事でも対策を施すことをお勧めしました。