「WiFi Pen Testサービス(無線LAN侵入試験サービス)」の提供について〜ハッキング手法を使い無線LANシステムの安全性を確認〜
スペクトラム・テクノロジー株式会社は、「WiFi Pen Testサービス(WiFi Penetration Test;無線LAN侵入試験サービス)」(以下、本サービス)の提供を平成28年4月1日より実施します。本サービスは、ハッキング手法を使って、企業内に設置している無線LANの安全性を総合的に試験します。無線アクセスポイント、無線LAN端末、無線LAN侵入防止装置(WIPS)、無線LANの管理・運用、無線LANの利用者のセキュリティ意識を含めた無線LAN全体のシステムの安全性を確認できます。
1. 目的
企業において無線LANは、既に非常に重要な通信インフラのひとつとなっております。今後、BYOD(注1)の導入加速に伴い、無線LANシステムのセキュリティ対策(課題1)、利用者の意識(課題2)、運用管理が重要となりますが、現状は、まだ脆弱な状態です。また、無線LANは、外部から簡単にアクセスでき、これまでの有線系で行った対策をすり抜けて、企業の内部に侵入することが可能です(課題3)。今回、海外では既に主流となっているWiFi Pen Testサービスにより、現状の無線LANのシステムの安全性を総合的に確認できます。
(注1):Bring your own device:私物のスマホなどの端末を企業の端末として活用する
(課題1)無線アクセスポイントのWEPの脆弱性
キーマンズネットの「無線LAN導入状況(2015年)」(2015/8/11)の調査によると無線LANのセキュリティ方式で脆弱なWEPを使っている企業は、約5割にのぼります。
http://www.keyman.or.jp/at/30007875/
(課題2)利用者の公衆無線LANへの安易な接続
ZDNetJapanによると2016年2月に開催されたバルセロナのMWC(Mobile World Congress)において公衆無線LANを使った公開実験では、数時間で、暗号化されていないハニーポット・アクセスポイントに2000人が接続したとの報告もあります。
http://japan.zdnet.com/article/35078546/
(課題3)外部から簡単にアクセス
無線LANは企業内部で使用され、これまでのFW、Proxyを通らないで、直接、無線アクセスポイント、無線LAN端末に無線でアクセスできます。脆弱な端末が狙われます。
2. サービス概要
WiFi Pen Testは、?無線アクセスポイントへの侵入試験、?無線LAN接続端末への侵入試験、?無線侵入防止装置(WIPS)の動作確認を行います。利用者、運用を含めた総合試験になり、利用者がハニーポット・アクセスポイントに接続しないか?、DoS攻撃を行う端末を発見できるか?などになります。(図1参照)
[資料: https://files.value-press.com/czMjYXJ0aWNsZSMzNzQyMyMxNTk3NDgjMzc0MjNfWWN1QXdybUhzbS5wbmc.png ]
本サービスに当たっては、MITM(Man in the Middle; 中間者攻撃)、DoS(Denial of Service)攻撃、ARP Poisoning、Caffe−Latte攻撃などハッキング手法を用いて実施します。
3. サービス名と内容
(1)サービス名:WiFi Pen Testサービス(WiFi Penetration Test;無線LAN侵入試験サービス)
(2)サービス内容
? 無線アクセスポントへの侵入
・WEP解読 ・WPA/WPA2解読(Brute force) ・WPS PIN解読(Brute force)
・過去の脆弱性による試験
? 接続PCへの侵入(図2参照)
・脆弱性による侵入 ・偽装APへの接続による個人情報搾取
[資料: https://files.value-press.com/czMjYXJ0aWNsZSMzNzQyMyMxNTk3NDgjMzc0MjNfS013VHlkemVWUi5wbmc.png ]
? WIPSの動作確認
・DoS攻撃端末の発見 ・不正APの発見
? 試験結果報告書と対策(図3参)
[資料: https://files.value-press.com/czMjYXJ0aWNsZSMzNzQyMyMxNTk3NDgjMzc0MjNfQ0xEdExYTXVWay5wbmc.png ]
(3)対象のお客様
・顧客情報、新規開発などの重要な情報を有しているお客様(金融、医療、製造、サービスなど)
・既にBYODを導入しているお客様
・無線LANを提供しているSIer様(エンドユーザ様の同意が必要となります)
(4)提供料金
・10万円(税抜き)から個別に見積もりします。
4. サービス提供エリア
関東エリア(東京、神奈川、千葉、埼玉、茨城、栃木、群馬)
5. サービス提供開始日
平成28年4月1日(金)
6. 特にお勧めするお客様
・金融系のPCI/DSS(注2)の試験を実施しているお客様。
・顧客情報、新規開発を扱っている業種のお客様(金融、病院、教育、金融、小売、製造など)
・BYODの導入を実施しているが、スマホなどのセキュリティが心配なお客様
(注2:PCI/DSS はPayment Card Industry Data Security Standardの略で、クレジット業界に求められているセキュリティ規格になります)
7. WiFi Pen Testによる効果
・不正アクセスを受ける前に無線LANシステムの安全性を確認できます。
・社員の無線LAN、BYODへのセキュリティ意識の向上が図れます。
・装置だけでなく、運用、教育を含めたシステムとしての安全性が総合的に確認できます。
8. テスト実施後の対策案
・無線アクセスポイントのセキュリティ方式の見直し
・社員への教育(特にハニーポット・アクセスポイントには接続しない)
・定期的な試験と演習の実施
9. 会社情報
スペクトラム・テクノロジー株式会社
所在地:埼玉県所沢市御幸町1番16−1308号
事業内容:無線の可視化により、快適な無線LAN(WiFi)、M2M環境を提供します。電波診断、トラヒック診断、セキュリティ診断による現状把握と対策を提供します。自社保有の測定ツールと無線歴35年により無線LANのトラブル対応力No.1を目指します。
ホームページ:http://spectrum-tech.co.jp
詳細資料: http://spectrum-tech.co.jp/service/wifi_pen_test.html
(参考)
図1.WiFi Pen Testサービス概要
図2.WiFi Pen TestによるPC侵入例
図3.WiFi Pen Testサービス報告書例
【本件に関するお問い合わせ先】
企業名:スペクトラム・テクノロジー株式会社
担当者名:村上正彦
TEL:04-2990-8881
Email:m.murakami@spectrum-tech.co.jp
1. 目的
企業において無線LANは、既に非常に重要な通信インフラのひとつとなっております。今後、BYOD(注1)の導入加速に伴い、無線LANシステムのセキュリティ対策(課題1)、利用者の意識(課題2)、運用管理が重要となりますが、現状は、まだ脆弱な状態です。また、無線LANは、外部から簡単にアクセスでき、これまでの有線系で行った対策をすり抜けて、企業の内部に侵入することが可能です(課題3)。今回、海外では既に主流となっているWiFi Pen Testサービスにより、現状の無線LANのシステムの安全性を総合的に確認できます。
(注1):Bring your own device:私物のスマホなどの端末を企業の端末として活用する
(課題1)無線アクセスポイントのWEPの脆弱性
キーマンズネットの「無線LAN導入状況(2015年)」(2015/8/11)の調査によると無線LANのセキュリティ方式で脆弱なWEPを使っている企業は、約5割にのぼります。
http://www.keyman.or.jp/at/30007875/
(課題2)利用者の公衆無線LANへの安易な接続
ZDNetJapanによると2016年2月に開催されたバルセロナのMWC(Mobile World Congress)において公衆無線LANを使った公開実験では、数時間で、暗号化されていないハニーポット・アクセスポイントに2000人が接続したとの報告もあります。
http://japan.zdnet.com/article/35078546/
(課題3)外部から簡単にアクセス
無線LANは企業内部で使用され、これまでのFW、Proxyを通らないで、直接、無線アクセスポイント、無線LAN端末に無線でアクセスできます。脆弱な端末が狙われます。
2. サービス概要
WiFi Pen Testは、?無線アクセスポイントへの侵入試験、?無線LAN接続端末への侵入試験、?無線侵入防止装置(WIPS)の動作確認を行います。利用者、運用を含めた総合試験になり、利用者がハニーポット・アクセスポイントに接続しないか?、DoS攻撃を行う端末を発見できるか?などになります。(図1参照)
[資料: https://files.value-press.com/czMjYXJ0aWNsZSMzNzQyMyMxNTk3NDgjMzc0MjNfWWN1QXdybUhzbS5wbmc.png ]
本サービスに当たっては、MITM(Man in the Middle; 中間者攻撃)、DoS(Denial of Service)攻撃、ARP Poisoning、Caffe−Latte攻撃などハッキング手法を用いて実施します。
3. サービス名と内容
(1)サービス名:WiFi Pen Testサービス(WiFi Penetration Test;無線LAN侵入試験サービス)
(2)サービス内容
? 無線アクセスポントへの侵入
・WEP解読 ・WPA/WPA2解読(Brute force) ・WPS PIN解読(Brute force)
・過去の脆弱性による試験
? 接続PCへの侵入(図2参照)
・脆弱性による侵入 ・偽装APへの接続による個人情報搾取
[資料: https://files.value-press.com/czMjYXJ0aWNsZSMzNzQyMyMxNTk3NDgjMzc0MjNfS013VHlkemVWUi5wbmc.png ]
? WIPSの動作確認
・DoS攻撃端末の発見 ・不正APの発見
? 試験結果報告書と対策(図3参)
[資料: https://files.value-press.com/czMjYXJ0aWNsZSMzNzQyMyMxNTk3NDgjMzc0MjNfQ0xEdExYTXVWay5wbmc.png ]
(3)対象のお客様
・顧客情報、新規開発などの重要な情報を有しているお客様(金融、医療、製造、サービスなど)
・既にBYODを導入しているお客様
・無線LANを提供しているSIer様(エンドユーザ様の同意が必要となります)
(4)提供料金
・10万円(税抜き)から個別に見積もりします。
4. サービス提供エリア
関東エリア(東京、神奈川、千葉、埼玉、茨城、栃木、群馬)
5. サービス提供開始日
平成28年4月1日(金)
6. 特にお勧めするお客様
・金融系のPCI/DSS(注2)の試験を実施しているお客様。
・顧客情報、新規開発を扱っている業種のお客様(金融、病院、教育、金融、小売、製造など)
・BYODの導入を実施しているが、スマホなどのセキュリティが心配なお客様
(注2:PCI/DSS はPayment Card Industry Data Security Standardの略で、クレジット業界に求められているセキュリティ規格になります)
7. WiFi Pen Testによる効果
・不正アクセスを受ける前に無線LANシステムの安全性を確認できます。
・社員の無線LAN、BYODへのセキュリティ意識の向上が図れます。
・装置だけでなく、運用、教育を含めたシステムとしての安全性が総合的に確認できます。
8. テスト実施後の対策案
・無線アクセスポイントのセキュリティ方式の見直し
・社員への教育(特にハニーポット・アクセスポイントには接続しない)
・定期的な試験と演習の実施
9. 会社情報
スペクトラム・テクノロジー株式会社
所在地:埼玉県所沢市御幸町1番16−1308号
事業内容:無線の可視化により、快適な無線LAN(WiFi)、M2M環境を提供します。電波診断、トラヒック診断、セキュリティ診断による現状把握と対策を提供します。自社保有の測定ツールと無線歴35年により無線LANのトラブル対応力No.1を目指します。
ホームページ:http://spectrum-tech.co.jp
詳細資料: http://spectrum-tech.co.jp/service/wifi_pen_test.html
(参考)
図1.WiFi Pen Testサービス概要
図2.WiFi Pen TestによるPC侵入例
図3.WiFi Pen Testサービス報告書例
【本件に関するお問い合わせ先】
企業名:スペクトラム・テクノロジー株式会社
担当者名:村上正彦
TEL:04-2990-8881
Email:m.murakami@spectrum-tech.co.jp