LifeStyle：802.1xはモバイルで“使いものにならない”？

ニュース

2002年10月2日　02:32 AM 更新

802.1xはモバイルで“使いものにならない”？

ユーザーが無線通信を行う機会は、増えつつある。その際、重要となるのは無線LANの認証方式だが、標準化が進む「IEEE 802.1x」には、異論もあるようだ

　ホットスポットの数が増えるのに伴い、ユーザーがモバイル端末から無線LAN通信を行う機会が増えている。ここで重要性を増すのが、ネット接続時の認証方式。しかし、標準化されつつある無線LANの認証規格には、不満の声も上がっているようだ。

　10月2日の「CEATEC JAPAN 2002」では、東京工業大学大学院情報理工学研究科の講師で、MISのCTOでもある太田昌孝氏がセミナーに登場。各事業者が採用を進める認証方式「IEEE 802.1x」の抱える問題点を指摘した。

東京工業大学大学院の太田昌孝氏

WEPは「破り放題」

　太田氏は、IEEE 802.1xが登場してきた背景として、現在無線LANで一般的に利用されている暗号化方式「WEP」（Wired Equivalent Privacy：記事参照）の脆弱性が明らかになったことがあると振り返る。

　「各ベンダーは、WEPにセキュリティ上の問題点があるとの発表を受けても、当初は何も対策をとらなかった。しかし『airsnout』という自動攻撃ツールも公開され、誰でもWEPを破り放題という状況になるに至って、ようやくIEEE 802.1xの開発が始まった」（同）。

　しかし、そんな市場ニーズを受けて現れたIEEE 802.1xも、複数の問題を抱えると太田氏は話す。

致命的に“遅い”

　同氏がまず指摘するのは、IEEE 802.1xは相互認証に時間をとられること。認証だけで、最低7回のパケット交換を必要とするほか、いわゆるホットスポット環境で必要となる“PPPoEでのセッション確立”“IPアドレス割り当て”などを行おうとすると、さらに数回のパケット交換が必要。しかも、途中でパケットが1回でも落ちると、タイムアウト待ちとして数秒の待ち時間が発生するという。

　「通常、認証といえば0.1秒～1秒ですむもの。ところがIEEE 802.1xでは、正確には分からないが数秒かかるケースもあるのではないか」（同）。

　また、そもそもセキュリティ保護のポリシーが甘いという問題がある。無線通信では、始めに認証を行いさえすればよい、というわけにはいかない。認証をパスして、相互通信が可能になった段階で、MACアドレスを偽装した別のクライアントに回線を利用される可能性があるからだ。

　「電話回線などを利用する有線通信なら、通信している相手はある程度物理的に特定できる。しかし無線通信では、相手が認証した対象なのかどうか分からない」（同）。

　また、クライアント側を認証するのでなく、基地局側を認証する必要もある。無線通信では、悪意あるユーザーがホットスポット付近に独自に基地局を設置して、無線クライアントのアクセスを誘導する“基地局のなりすまし”（記事参照）を警戒する必要があるからだ。しかしIEEE 802.1xでは、この問題を解決するような対策も講じられていない。

　「結局、IEEE 802委員会は、LAN規格の委員会。最近でこそWANでのイーサネット利用も考慮しているが、『公衆』というオープンな空間で、ユーザーの移動を伴う『モバイル』という環境では使い物にならない」と切り捨てた。

MISはIEEE 802.1xを無視

　太田氏は、MISで公衆無線LANサービスを提供するにあたり、WEPやIEEE 802.1xといった方式を無視したと話す。

　同社は認証に、MISプロトコル（MISP）と呼ばれる独自の方式を採用している。これは、ログインごとにユーザー固有のキーを生成し、それを無線基地局と無線クライアント間で共有するもの。以後の通信パケットはMD5により暗号化するため、通信の途中から偽クライアントに利用されたり、“なりすまし基地局”と通信してしまう危険性が低い（記事参照）。また、米国務省が採用した暗号化方式「AES」（Advanced Encryption Standard) ）による通信も、オプションで対応した。

　太田氏は、安価な無線端末と、安価なブロードバンドインフラが実現した今、認証方式こそが公衆無線LANサービスが重要な課題だと話す。課金インフラ構築のため、かつ悪意あるユーザーの不正アクセスを防ぐために、適正な認証方式の必要性を訴えた。

●ホットスポットで相互干渉？　――心配ありません

　いまやホットスポット事業には、数多くの通信事業者が参入する状況。各社とも、競って自社サービスに対応した無線アクセスポイント（AP）の設置を進めているが、“APが密集する地帯では、通信の干渉が起こるのでは”と心配する声も、一部にあるようだ。もっとも、太田氏はこれを、紀憂だと話す。
　IEEE 802.11bでは、MAC層にCSMA/CA（Carrier Sense Multiple Access With Collision Avoidance）方式を採用している。これは、イーサネットに用いられるCSMA/CD方式に良く似たもので、送信の前に誰か送信していないか調べるとともに、自分宛のデータが送信されていないか調べて通信の衝突を回避する仕組み。
　「イーサネットに100台のクライアントを接続しても問題ないように、ホットスポットで100台の無線端末が通信を行っても、実質問題ない」（同）。

関連記事