海自護衛艦無線LANセキュリティ問題と艦内LANの一考察
先日毎日新聞他が、海自の護衛艦から暗号化されていない無線LANの電波が検知されたことを報道した。
海自無線LAN:セキュリティー甘く傍受可能
長崎版
海自:舞鶴と呉基地の護衛艦、非暗号の無線LAN存在 通信傍受可能な状態 /長崎 - 毎日jp(毎日新聞)
時事通信
時事ドットコム:メールID流出の恐れ=無線LAN使用で−海自舞鶴総監部
共同通信
海自護衛艦が非暗号の無線LAN IDなど流出の恐れも - 47NEWS(よんななニュース)
2chとかスラドの反応とかを見るまでもなく、まぁ結論は、「無線LAN使うなら暗号化しろよ」なのだが、もうちょっと突っ込んでみたい。
- どんなネットワークだったのか
毎日によれば「インターネット接続用で、防衛に関する重要情報は扱っていない」とのこと。海の上からインターネットにつなぐとなると、衛星回線経由だろうか。艦内で暮らす隊員が個別にダイアルアップ接続している、ましてや艦内にISPモドキがあって隊員にインターネット接続サービスをやっているとは考えにくい(帯域と費用の問題)。「インターネット接続用」ということは、「インターネット接続」以外のネットワークが艦内に存在するということである。防衛省・自衛隊内はDIIと呼ばれる巨大なイントラネットが構築されており、インターネットに接続されている「オープン系」とクリティカルな情報を扱う「クローズ系」と分かれており、もしかしたら艦内のネットワークもこの分類に準拠して分けられているのかもしれない(DIIについてはちと古いがこのへんを参照)。すなわち、今回の事件は「艦内オープン系LAN」に接続された無線LANアクセスポイントの電波が検出され、それが暗号化されていなかったということである。
尚、「オープン系」に本当に自衛隊の活動で秘密にすべき内容ではないにしろ重要な情報が一切流れないような運用がなされていたかは不明である。
- 誰がアクセスポイントを設置したのか
業務で必要なら部隊から調達要求がなされて予算確保の後、入札→業者による落札→業者による納入という流れとなり、自衛隊内でアクセスポイント機器が識別されるはずである。今回その設置が問題になったということは、不正設置が発覚したということである。第三者の艦内への侵入は困難であることから、アクセスポイント機器を持ち込んだのは隊員ということになる。恐らくは自費で購入したものを持ち込んだということであろう。しかも、その隊員に無線LAN利用リテラシがなかったことが事態を大きくしてしまったということだ。
- 何故無線LANが必要になったのか
昔買った「海上自衛隊パーフェクトガイド」(学研)を見ると、護衛艦「はるさめ」の艦内の写真が何点かあり、その中に士官室(幹部がミーティングしたり食事したりする部屋らしい)で幹部自衛官がノートパソコンに向かっている写真があった。有線LANはつながっておらず、2000年5月発行の本なので当時はオフラインで使用していたのかもしれない。時代は移りネットワーク上の情報を必要とすることが当たり前になったが、士官室の写真を見る限り、LANケーブルを引き回すことができるような部屋構造にはなっていないように見える。艦内業務でパソコンを必要とする業務職種がどの程度あるかわからないが、少なくとも古い護衛艦では十分な配線スペースが確保されていない状態ではないかと想像できる。そうなると、使えるのは無線LANということになる。それでも護衛艦の艦内は複雑な構造をしているので、アクセスポイントは1台で済むという話にはならないであろう。高利得アンテナを使うと別の問題も出るだろうし。
ところで、無線LANを設置した隊員と必要とした隊員は同じ人だったのであろうか。もし違う人であったとすれば、アクセスポイントに暗号化設定をしたら、パソコン側にも設定が必要となるが、アクセスポイント設置者よりもリテラシ低いが階級は高い利用者が「面倒くさいことするな!」と一喝して暗号なしになったとしたら、笑うに笑えない。
- どうすればよかったのか
「禁止脳」で対処すれば隊員達から不満の声が上がり、「そんなの海の上では関係ねぇ!」とばかりにこっそり同じことを行う隊員がまた出てくるかもしれない(沖に出てしまえば第三者傍受者のリスクはなくなるだろうが、内部犯行として艦内での傍受のリスクは残る)。オフラインで済むのであればオフラインで作業、有線LANが使えるところでは有線LANで、どうしても有線LANの引き回しがダメで無線LAN使うしかなければ正規購入の上適切な暗号化を実施し、利用者にも教育を行い、艦内ネットワークも管理する…となりそうだが、後半2つは現場部隊では難しいかも。艦内でのパソコン利用業務内容を海自全体で洗い出してあるべき姿を検討することが先かもしれない。新規建造艦も設計段階でLANケーブルの管路確保とかを考慮する必要がでてきそうだ。でも無線LAN情報漏えい対策でそこまで予算通るのだろうか…。
- 追記(11/13)
スラドにもようやく船の上の出来事と言うことに注目した内容が記述された。アクセスポイント機器が隊員私品の可能性だけでなく、消耗品扱い購入の可能性、正規購入しても管理できていない可能性なども残っているようだな…、と思っていたら、よくよく時事通信のニュースを見返してみると、「海上自衛隊舞鶴地方総監部(京都府舞鶴市)と停泊した護衛艦の間で、セキュリティー機能の弱い無線LANが使用された」とある。共同通信も見返してみると、「無線LANは2001年度から、基地に停泊中の護衛艦が地方総監部と電子メールで連絡を取ったり、インターネットを使用したりする際に使用」とあった。艦内で閉じて使うのではなく、停泊時にインターネットと接続する目的で艦船〜基地間中継回線として無線LANを使っていたということか? だとしたら上記の話は全然頓珍漢もいいところじゃないかorz それでも暗号なしなんて尚更ひどすぎることには変わりないが。基地に帰還したときの船と基地の間の通信でどのような通信媒体を使うべきかは興味あるところではあるが…。あ、この記述だとネットワーク間接続ではなくて、単に基地に設置されたアクセスポイントに船上のパソコンからつなぎにいった可能性も残っているのか…。それにしても情報が少なすぎてわかりにくいぞ! もっと突っ込んだ取材しろよ!>マスゴミ
