公衆無線LAN【認証】サービス

wiffy®

公衆無線LAN認証サービス

ここでは、公衆無線LAN認証サービスwiffyについて解説します。

  • 不特定多数の無線子機からの認証要求をクラウドで高速に処理する公衆無線向けの利用者認証サービスです。
  • 認証方式として、SNS認証・Email認証・SMS認証に対応します。
  • ヘビーユーザーの接続を制限する接続時間制限・接続回数制限に対応します。
  • 認証連携可能な無線LAN製品には指定がありますで別途お問い合わせください。

本サービスの目的

本サービスは、利用者特定性レベルの高い公衆無線LANサービスとするためのセキュリティ機構として働き、利便性と安全性を両立する公衆無線の提供を実現させます。

一般的に、利用者の認証と特定ができないFREE Wi-Fiの開放は、闇バイト募集等の特殊詐欺やマルウェア配布等のサイバー犯罪の温床となり、外出中の社員が会社の機密情報を漏洩させるリスクを高め、公害無線と化すことが認知されております。その特徴は以下の通り。

  • 匿名で利用でき、マルウェア配布サーバーも接続でき、サイバー犯罪に最適
  • 利用者や接続端末の特定が困難で、犯罪の痕跡の追跡も極めて困難になる
  • 利用者の個人情報や、社内の機密情報が漏洩する最も有力な経路となる

社会問題として取り上げられた記事をいくつか紹介します。

記事リンク 記事の概略
記事:無料Wi-Fiに警察が待った この記事は、京都市が観光客のために導入した無料Wi-Fiの利用手続きの簡素化に対し、京都府警が犯罪に利用された場合の追跡が困難になることを懸念し、市に抗議した経緯を説明しています。府警は個人情報の登録が不要になったことで、犯罪抑止力が弱まると指摘し、改善を求めています。
記事:無料公衆無線LANとフォレンジック この記事では、無料公衆無線LAN(Wi-Fi)利用のリスクとそのフォレンジック(デジタル証拠調査)への影響について議論しています。京都市のKyoto Wi-Fiの事例を通じて、無登録で利用可能なWi-Fiが犯罪に悪用される可能性があること、また利用者の特定が困難になることで犯罪抑止力が低下する問題を指摘しています。記事は、利用者の本人確認を強化する必要性を強調しています。
記事:リオでは生水を飲まないこと、無料Wi-Fiに接続しないこと リオデジャネイロで開催されたオリンピック中、リオ市内のWi-Fiスポットがハッカーの標的となり、多くの偽ホットスポットが設置されました。これにより、観光客や市民の個人情報が簡単に盗まれるリスクが高まりました。なお、調査によれば、市内の多くの既設のWi-Fi機器が適切なファイアウォールや侵入検知防御、ネットワーク接続認証を掛けず、常にハッキングされやすい状態でした。

下記はWi-Fi機器の設定不備により、常に有効な攻撃手法となります。

主なWi-Fi侵害手法 内容 対策
Snooping and Sniffing 悪意のあるアクターがWi-Fi信号を傍受し、利用者が閲覧したウェブページや入力したログイン情報を盗む目的で、他の接続端末の活動をモニタリングする。
  • 無線子機間通信分離を有効にする。
  • ゲスト用ネットワークをVLANで隔離し、ネットワーク装置を保護する。
  • RADIUS認証を掛け、匿名あるいは機械的なネットワーク接続要求を遮断。
Malicious Hotspots 悪意のあるホットスポットが正規のネットワークと似た名前を使用して利用者を騙し、個人情報を収集する。
  • ローグ(野良)AP検知機能を有効にしWi-Fi空間を監視し、正規SSIDを騙る無線機器を特定し排除する。
  • 野良APの検知と遮断を瞬時に実行する無線LAN侵入検知防御センサーを導入する。
Session Hijacking 悪意のあるアクターが利用者とウェブサイトの間の接続を乗っ取り、利用者のアカウントにアクセスする。
  • 無線子機間通信分離を有効にする。
  • ゲスト用ネットワークをVLANで隔離し、ネットワーク装置を保護する。
  • RADIUS認証を掛け、匿名あるいは機械的なネットワーク接続要求を遮断。
Malware Distribution 悪意のあるアクターやマルウェアに感染したIoTデバイスが同じネットワークに接続されたデバイスにマルウェアを配布する。
  • 無線子機間通信分離を有効にする。
  • ゲスト用ネットワークをVLANで隔離し、ネットワーク装置を保護する。
  • ネットワーク装置には常に最新のセキュリティパッチを当てる。
  • RADIUS認証を掛け、匿名あるいは機械的なネットワーク接続要求を遮断。
Data Interception 利用者が無線区間を平文で通信することで、悪意のあるアクターが通信を傍受し、内容を解読する。
  • 無線子機間通信分離を有効にする。
  • HTTPS等OSI参照モデル第7層による暗号化通信の利用のみを利用者にキャプティブポータル上で勧告する。

ホテルやカフェに無料Wi-Fiの設置を検討する等の民間ビジネス向けには、総務省より発行されている「Wi-Fi提供者」向けセキュリティ対策の手引きが分かりやすく、数年おきに内容が更新され続けており、具体的な導入施策や改善に繋げやすい指針となります。

利用者管理ツール

AAAモデルに準拠したRADIUSサーバーのユーザー管理メニュー。ネットワークリソースの利用者に対し、接続時間や回数の制限、認証可否などのポリシーを適用します。

Image Lightbox
  • 登録管理可能なユーザー数は無制限
  • 1日あたりの認証回数制限、1回あたりの接続時間制限
  • マルチサイト、マルチ認証方式、マルチWLANベンダー

利用者分析ツール

AAA認証ログから時系列の認証方式別・国籍別の統計を抽出し、可視化します。月初には前月分の簡易統計情報をHTMLメールで管理者に通知します。

Image Lightbox
  • 利用件数に関する各種統計
  • 管理者向け自動レポート機能
  • Webhookによる外部連携機能

Interop Best of Show Award 2016 Finalist

マルチSNS認証サービス

Read More

LINE BOOT AWARDS 2018 Finalist

友だち追加で使えるFREE Wi-Fi

Read More

MACアドレスの乱数化 = RADIUS認証の必須化

昨今のスマホ業界の潮流であるMACアドレス(端末識別子)の乱数化オプションは、Wi-Fiハニーポットと呼ばれる情報詐取やフィッシング目的の偽アクセスポイント、Wi-Fiストーキング目的のアクセスポイントからの追跡を回避するために実装されたものですが、当社はネットワーク管理側の立場としてこのようなMACアドレスの乱数化オプションをオフにすることを公衆無線LANサービスにおけるインターネット接続認可の条件と定めています。また、当社の公衆無線認証サービスを用いれば、仮にスマートフォン等のMACアドレスがWi-Fiネットワーク接続時に乱数化されていても、フォレンジック調査が可能となります。