Surface Hub による Wi-Fi Direct のセキュリティ問題への対応How Surface Hub addresses Wi-Fi Direct security issues

Microsoft Surface Hub は、チームのブレーンストーミング、コラボレーション、アイデアの共有を通じて生産性向上を図るオール イン ワン型デバイスです。Microsoft Surface Hub is an all-in-one productivity device that enables teams to better brainstorm, collaborate, and share ideas. Surface Hub は、Wi-fi Direct によるワイヤレスプロジェクションでは Miracast に依存しています。Surface Hub relies on Miracast for wireless projection through Wi-Fi Direct.

この記事では、Wi-fi Direct security の脆弱性、Surface Hub がこれらのリスクにどのように対応するか、管理者が Surface Hub を最大限のセキュリティレベルで構成する方法について説明します。This article describes Wi-Fi Direct security vulnerabilities, how Surface Hub addresses those risks, and how administrators can configure Surface Hub for the highest level of security. この情報は、高度なセキュリティ要件を持つユーザーが、Surface Hub に接続されたネットワークと転送中のデータを保護するために役立ちます。This information will help customers who have high security requirements protect their Surface Hub-connected networks and data in transit.

この記事の対象ユーザーは、最適なセキュリティ設定を使用して企業環境に Surface Hub を展開する IT とネットワーク管理者を対象としています。The intended audiences for this article are IT and network administrators who want to deploy Surface Hub in their corporate environment with optimal security settings.

概要Overview

Surface Hub のセキュリティは、Wi-fi Direct/Miracast、および関連する802.11、Wi-fi Protected Access (WPA2)、およびワイヤレス保護されたセットアップ (WPS) 標準に依存しています。Security for Surface Hub depends extensively on Wi-Fi Direct/Miracast and the associated 802.11, Wi-Fi Protected Access (WPA2), and Wireless Protected Setup (WPS) standards. このデバイスでサポートされるのは WPS (WPA2 事前共有キー [PSK] または WPA2 Enterprise) のみであるため、802.11 暗号化に関連する問題は単純化されています。Because the device only supports WPS (as opposed to WPA2 Pre-Shared Key [PSK] or WPA2 Enterprise), the issues often associated with 802.11 encryption are simplified.

Surface Hub は、Miracast レシーバーのフィールドと同等に動作します。Surface Hub operates on par with the field of Miracast receivers. したがって、すべての WPS ベースのワイヤレスネットワークデバイスと同様の攻撃を受ける可能性があります。So, it's vulnerable to a similar set of exploits as all WPS-based wireless network devices. ただし、WPS の Surface Hub の実装には、追加の予防措置が組み込まれています。But the Surface Hub implementation of WPS has extra precautions built in. また、Wi-fi Direct/Miracast レイヤーを突破した攻撃者が、ネットワークインターフェイスを経由して他の攻撃面や接続されている企業ネットワークに移動してしまうのを防ぐことができます。Also, its internal architecture helps prevent an attacker who has compromised the Wi-Fi Direct/Miracast layer from moving past the network interface onto other attack surfaces and connected enterprise networks.

Wi-Fi Direct の背景情報Wi-Fi Direct background

Miracast は、wi-fi Direct protocol でサポートされている Wi-fi ディスプレイ標準の一部です。Miracast is part of the Wi-Fi Display standard, which is supported by the Wi-Fi Direct protocol. 最新のモバイル デバイスでは、これらの規格をサポートすることで画面の共有とコラボレーションを実現しています。These standards are supported in modern mobile devices for screen sharing and collaboration.

Wi-fi Direct または Wi-fi "ピアツーピア" (P2P) は、"アドホック" ネットワーク向けの Wi-fi アライアンスの標準です ()。Wi-Fi Direct or Wi-Fi "peer to peer" (P2P) is a standard from the Wi-Fi Alliance for "Ad-Hoc" networks. サポートされているデバイスは、従来の Wi-fi アクセスポイントまたはインターネット接続なしで直接通信したり、ネットワークのグループを作成したりすることができます。Supported devices can communicate directly and create groups of networks without a conventional Wi-Fi access point or Internet connection.

Wi-fi Direct のセキュリティは、WPS 標準で WPA2 によって提供されています。Security for Wi-Fi Direct is provided by WPA2 under the WPS standard. デバイスの認証メカニズムは、数字の pin (WPS)、物理または仮想プッシュボタン (WPS-PBC)、または near field communication (WPS-OOO) などの帯域外メッセージです。The authentication mechanism for devices can be a numerical pin (WPS-PIN), a physical or virtual push button (WPS-PBC), or an out-of-band message such as near field communication (WPS-OOO). Surface Hub は、ピンメソッドとプッシュボタンメソッド (既定) をサポートしています。Surface Hub supports both the PIN method and the push-button method, which is the default.

Wi-fi Direct では、グループは次のいずれかの種類として作成されます。In Wi-Fi Direct, groups are created as one of the following types:

  • 永続的(保存されているキーマテリアルを使用して自動再接続が行われる)Persistent, in which automatic reconnection can occur by using stored key material
  • 一時的に、ユーザーの操作なしでデバイスを再認証できないTemporary, in which devices can't re-authenticate without user action

Wi-fi Direct groups は、確立された Wi-fi Direct グループの "駅" または "アクセスポイント" 機能を模倣したネゴシエーションプロトコルを通じて、グループの所有者(移動) を決定します。Wi-Fi Direct groups determine a group owner (GO) through a negotiation protocol, which mimics the "station" or "access point" functionality for the established Wi-Fi Direct group. Wi-fi Direct GO は、(「内部レジストラー」経由で) 認証を提供し、上流のネットワーク接続を容易にします。The Wi-Fi Direct GO provides authentication (via an "internal registrar") and facilitates upstream network connections. Surface Hub の場合、この移動のネゴシエーションは発生しません。For Surface Hub, this GO negotiation doesn't occur. ネットワークは "自律" モードでのみ動作し、Surface Hub は常にグループの所有者になります。The network only operates in "autonomous" mode, and Surface Hub is always the group owner. 最後に、Surface Hub 自体は、クライアントとして他の Wi-fi Direct ネットワークに接続しません。Finally, Surface Hub itself doesn't join other Wi-Fi Direct networks as a client.

Surface Hub で Wi-fi の直接の脆弱性に対処する方法How Surface Hub addresses Wi-Fi Direct vulnerabilities

Wi-fi Direct の招待、ブロードキャスト、検出プロセスの脆弱性と攻撃: Wi-fi Direct/Miracast 攻撃は、グループ確立、ピア検出、デバイスブロードキャスト、または招待のプロセスの弱点をターゲットとする可能性があります。Vulnerabilities and attacks in the Wi-Fi Direct invitation, broadcast, and discovery process: Wi-Fi Direct/Miracast attacks may target weaknesses in the group establishment, peer discovery, device broadcast, or invitation processes.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
検出プロセスが長時間アクティブなままになることがあります。これにより、デバイス所有者の承認なしで招待と接続を確立することができます。The discovery process may remain active for an extended period of time, which could allow invitations and connections to be established without the approval of the device owner. Surface Hub は、グループの所有者としてのみ機能し、クライアント検出または移動ネゴシエーションのプロセスは実行されません。Surface Hub only operates as the group owner, which doesn't perform the client discovery or GO negotiation processes. ワイヤレスプロジェクションを完全に無効にして、ブロードキャストをオフにすることができます。You can fully disable wireless projection to turn off broadcast.
PBC 経由の招待と検出により、認証されていない攻撃者が、繰り返し接続を実行するか、認証されていない接続が自動的に受け入れられます。Invitation and discovery through PBC allows an unauthenticated attacker to perform repeated connection attempts, or unauthenticated connections are automatically accepted. WPS PIN セキュリティを要求することにより、管理者は、このような承認されていない接続または "招待爆弾" の可能性を減らすことができます。この場合、招待状は、ユーザーが誤って承認した場合に繰り返し送信されます。By requiring WPS PIN security, administrators can reduce the potential for such unauthorized connections or "invitation bombs," in which invitations are repeatedly sent until a user mistakenly accepts one.

Wi-fi 保護されたセットアップ (WPS) プッシュボタン接続 (PBC) VS ピンエントリ: WPS ピンのメソッドの設計と実装で公開弱点が実証されました。Wi-Fi Protected Setup (WPS) push button connect (PBC) vs PIN entry: Public weaknesses have been demonstrated in WPS-PIN method design and implementation. WPS-PBC には、1回限りの使用を目的として設計されたプロトコルに対するアクティブな攻撃を可能にするその他の脆弱性があります。WPS-PBC has other vulnerabilities that could allow active attacks against a protocol that's designed for one-time use.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
WPS PBCは、アクティブな攻撃に対して脆弱です。WPS-PBC is vulnerable to active attackers. WPS の仕様の状態: "PBC メソッドは0ビットのエントロピーを持ち、受動的な盗聴攻撃からのみ保護されます。The WPS specification states: "The PBC method has zero bits of entropy and only protects against passive eavesdropping attacks. PBC は傍受攻撃からデバイスを保護し、デバイス所有者が選択した以外のネットワークにデバイスが参加することを防止します。PBC protects against eavesdropping attacks and takes measures to prevent a device from joining a network that was not selected by the device owner. ただし、認証がないということは、PBC がアクティブな攻撃から保護しないことを意味します。 "The absence of authentication, however, means that PBC does not protect against active attack." 攻撃者は、選択的なワイヤレス妨害やその他のサービス拒否技術を使って、意図しない Wi-fi Direct GO または接続をトリガーすることができます。Attackers can use selective wireless jamming or other denial-of-service techniques to trigger an unintended Wi-Fi Direct GO or connection. また、物理的な近接性のあるアクティブな攻撃者は、Wi-fi Direct グループを繰り返し破棄して、成功するまでその攻撃を試みることができます。Also, an active attacker who merely has physical proximity can repeatedly tear down any Wi-Fi Direct group and attempt the attack until it succeeds. Surface Hub 構成で WPS-PIN セキュリティを有効にします。Enable WPS-PIN security in Surface Hub configuration. Wi-fi WPS 仕様の状態: "PBC メソッドは使用できません。 PIN 対応のレジストラーが利用可能であり、WLAN ユーザーが PBC に関連するリスクを受け入れることが許可されている場合のみ使用してください。"The Wi-Fi WPS specification states: "The PBC method should only be used if no PIN-capable registrar is available and the WLAN user is willing to accept the risks associated with PBC."
WPS の実装には、WPS 規格の脆弱性を標的にしたブルートフォース攻撃の対象となる場合があります。WPS-PIN implementations can be subject to brute-force attacks that target a vulnerability in the WPS standard. 分割ピンの確認の設計は、一連の Wi-fi ハードウェア製造元の過去数年にわたる複数の実装の脆弱性に対応しています。The design of split PIN verification led to multiple implementation vulnerabilities over the past several years across a range of Wi-Fi hardware manufacturers. 2011では、研究者シュテファン Viehböck および葛城 Heffner は、概念実証としての "" などの脆弱性とツールに関する情報をリリースしました。In 2011, researchers Stefan Viehböck and Craig Heffner released information about this vulnerability and tools such as "Reaver" as a proof of concept. Surface Hub での Microsoft の WPS の実装では、PIN が30秒ごとに変更されます。The Microsoft implementation of WPS in Surface Hub changes the PIN every 30 seconds. PIN を破るために、攻撃者は、攻撃全体を30秒以内に完了する必要があります。To crack the PIN, an attacker must complete the entire exploit in less than 30 seconds. この分野でのツールと調査の現在の状態により、WPS を介したブルートフォースの PIN 解読攻撃が成功する可能性は低くなります。Given the current state of tools and research in this area, a brute-force PIN-cracking attack through WPS is unlikely to succeed.
WPS-PIN は、脆弱な初期キー (E-S1、E S2) エントロピーのため、オフライン攻撃によって解読されることがあります。WPS-PIN can be cracked by an offline attack because of weak initial key (E-S1,E S2) entropy. 2014では、Dominique Bongard によって、ワイヤレスデバイスの擬似乱数ジェネレーター (PRNG) の初期ランダム性の低下が、オフラインのブルートフォース攻撃で許可されていることを示しています。In 2014, Dominique Bongard described a "Pixie Dust" attack where poor initial randomness for the pseudo random number generator (PRNG) in the wireless device allowed an offline brute-force attack. Surface Hub での Microsoft の WPS の実装は、このオフライン PIN のブルートフォース攻撃の影響を受けません。The Microsoft implementation of WPS in Surface Hub is not susceptible to this offline PIN brute-force attack. WPS-PIN は接続ごとにランダム化されます。The WPS-PIN is randomized for each connection.

ネットワークサービスの意図しない公開: イーサネットまたは WLAN サービス向けのネットワークデーモンは、構成が正しくないため ("すべて" または0.0.0.0 インターフェイスにバインドするなど)、誤って公開される可能性があります。Unintended exposure of network services: Network daemons that are intended for Ethernet or WLAN services may be accidentally exposed because of misconfiguration (such as binding to "all"/0.0.0.0 interfaces). その他の原因として、デバイスファイアウォールが正しく設定されていないか、ファイアウォール規則が見つからない。Other possible causes include a poorly configured device firewall or missing firewall rules.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
構成の誤りによって、脆弱なまたは未認証のネットワーク サービスが、Wi-Fi Direct インターフェイスを含む "すべての" インターフェイスにバインドされます。Misconfiguration binds a vulnerable or unauthenticated network service to "all" interfaces, which includes the Wi-Fi Direct interface. これにより、Wi-fi Direct クライアントがアクセスできなくなる可能性のあるサービスが公開されます。これは、弱く、または自動的に認証される場合があります。This can expose services that shouldn't be accessible to Wi-Fi Direct clients, which may be weakly or automatically authenticated. Surface Hub では、既定のファイアウォールルールには、必要な TCP と UDP のネットワークポートのみが許可され、既定ではすべての着信接続が拒否されます。In Surface Hub, the default firewall rules only permit the required TCP and UDP network ports and by default deny all inbound connections. WPS PIN モードを有効にして、強力な認証を構成します。Configure strong authentication by enabling the WPS-PIN mode.

Wi-fi Direct およびその他の有線またはワイヤレスネットワークのブリッジ: WLAN またはイーサネットネットワーク間のネットワークブリッジは、Wi-fi Direct 仕様に違反しています。Bridging Wi-Fi Direct and other wired or wireless networks: Network bridging between WLAN or Ethernet networks is a violation of the Wi-Fi Direct specification. このような間違った構成により、社内ネットワークのワイヤレスアクセス制御が効果的に低下または削除される可能性があります。Such a bridge or misconfiguration may effectively lower or remove wireless access controls for the internal corporate network.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
ブリッジされたネットワーク接続への未認証または不完全な認証のアクセスが、Wi-Fi Direct デバイスによって許可される可能性があります。Wi-Fi Direct devices could allow unauthenticated or poorly authenticated access to bridged network connections. これにより、Wi-fi Direct ネットワークが、既存の IT セキュリティプロトコルに違反して、内部のイーサネット LAN またはその他のインフラストラクチャまたはエンタープライズ WLAN ネットワークにトラフィックをルーティングすることができます。This might allow Wi-Fi Direct networks to route traffic to internal Ethernet LAN or other infrastructure or to enterprise WLAN networks in violation of existing IT security protocols. Surface Hub は、ワイヤレスインターフェイスのブリッジや、異なるネットワーク間のルーティングを許可するように構成することはできません。Surface Hub can't be configured to bridge wireless interfaces or allow routing between disparate networks. 既定のファイアウォール規則は、このようなルーティングまたはブリッジ接続をさらにきめ細かく防御します。The default firewall rules add defense in depth to any such routing or bridge connections.

Wi-fi Direct "レガシー" モードの使用: 意図しないネットワークまたはデバイスの露出は、"レガシー" モードで操作したときに発生する可能性があります。The use of Wi-Fi Direct "legacy" mode: Exposure to unintended networks or devices may occur when you operate in "legacy" mode. WPS-PIN が有効でない場合、デバイスのスプーフィングや意図しない接続が行われる可能性があります。Device spoofing or unintended connections could occur if WPS-PIN is not enabled.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
Wi-Fi Direct と 802.11 インフラストラクチャ クライアントの両方をサポートすると、システムが "レガシ" サポート モードで動作します。By supporting both Wi-Fi Direct and 802.11 infrastructure clients, the system is operating in a "legacy" support mode. これにより、接続のセットアップフェーズが無期限に公開されることがあります。また、意図したセットアップフェーズが終了した後も、グループを参加させることができます。This may expose the connection-setup phase indefinitely, allowing groups to be joined or devices invited to connect well after their intended setup phase terminates. Surface Hub は Wi-fi Direct レガシクライアントをサポートしていません。Surface Hub doesn't support Wi-Fi Direct legacy clients. WPS-PIN モードが有効な場合でも、Surface Hub に対して確立できるのは Wi-Fi Direct 接続のみです。Only Wi-Fi Direct connections can be made to Surface Hub even when WPS-PIN mode is enabled.

接続のセットアップ時に Wi-fi DIRECT GO ネゴシエーション: Wi-fi Direct のグループ所有者は、従来の802.11 ワイヤレスネットワークの "アクセスポイント" に似ています。Wi-Fi Direct GO negotiation during connection setup: The group owner in Wi-Fi Direct is analogous to the "access point" in a conventional 802.11 wireless network. ネゴシエーションは、悪意のあるデバイスによって操作される可能性があります。The negotiation can be gamed by a malicious device.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
グループが動的に確立されているか、Wi-fi Direct デバイスを使って新しいグループに参加できる場合、グループ所有者のネゴシエーションを、グループの所有者の "インテント" の最大値である "15" に設定している悪意のあるデバイスで受けることができます。If groups are dynamically established or the Wi-Fi Direct device can be made to join new groups, the group owner negotiation can be won by a malicious device that always specifies the maximum group owner "intent" value of 15. (ただし、デバイスが常にグループの所有者になるように構成されている場合、接続は失敗します)。(But the connection fails if the device is configured to always be a group owner.) Surface Hub は Wi-fi Direct "自律モード" を利用します。これにより、接続設定の GO ネゴシエーションフェーズがスキップされます。Surface Hub takes advantage of Wi-Fi Direct "Autonomous mode," which skips the GO negotiation phase of connection setup. Surface Hub は常にグループの所有者になります。And Surface Hub is always the group owner.

意図しない、または悪意のある wi-fi deauthentication: Wi-fi deauthentication は、従来の攻撃であり、ローカル攻撃者は、接続のセットアッププロセスでの情報漏洩の迅速化、新しい4方向ハンドシェイクのトリガー、アクティブな wi-fi Direct WPS-PBC の呼び出し、またはサービス拒否攻撃の作成を行うことができます。Unintended or malicious Wi-Fi deauthentication: Wi-Fi deauthentication is an old attack in which a local attacker can expedite information leaks in the connection-setup process, trigger new four-way handshakes, target Wi-Fi Direct WPS-PBC for active attacks, or create denial-of-service attacks.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
Deauthentication パケットは、認証されていない攻撃者によって送信され、そのためにステーションが再認証を行い、最終的に発生したハンドシェイクをスニッフィングします。Deauthentication packets can be sent by an unauthenticated attacker to cause the station to re-authenticate then to sniff the resulting handshake. さらに発生するハンドシェイクに対して、暗号化攻撃やブルートフォース攻撃を試みることができます。Cryptographic or brute-force attacks can be attempted on the resulting handshake. このような攻撃を軽減するには、事前共有キーの長さと複雑さのポリシーの適用、deauthentication パケットのアクセスポイントの構成 (該当する場合)、WPS を使用した強力なキーの自動生成を行います。Mitigation for these attack includes enforcing length and complexity policies for pre-shared keys, configuring the access point (if applicable) to detect malicious levels of deauthentication packets, and using WPS to automatically generate strong keys. PBC モードでは、ユーザーは物理ボタンまたは仮想ボタンを操作して、任意のデバイス関連付けを許可します。In PBC mode, the user interacts with a physical or virtual button to allow arbitrary device association. このプロセスは、短時間のウィンドウ内でのセットアップでのみ発生します。This process should happen only at setup, within a short window. ボタンが自動的に "プッシュ" されると、デバイスは正規のピンの値 (すべてゼロ) で関連付けられたすべてのステーションを受け入れます。After the button is automatically "pushed," the device will accept any station that associates via a canonical PIN value (all zeros). 認証解除によって、セットアップ プロセスの繰り返しを強制できます。Deauthentication can force a repeated setup process. Surface Hub は、PIN または PBC モードで WPS を使用します。Surface Hub uses WPS in PIN or PBC mode. PSK 構成は許可されません。No PSK configuration is permitted. このメソッドは、強力なキーの生成を適用するのに役立ちます。This method helps enforce generation of strong keys. Surface Hub の WPS PIN セキュリティを有効にすることをお勧めします。It's best to enable WPS-PIN security for Surface Hub.
サービス拒否攻撃に加えて、deauthentication パケットを使って、WPS に対してアクティブな攻撃のための機会のウィンドウを再び開くことができます。In addition to denial-of-service attacks, deauthentication packets can be used to trigger a reconnect that re-opens the window of opportunity for active attacks against WPS-PBC. Surface Hub 構成で WPS-PIN セキュリティを有効にします。Enable WPS-PIN security in the Surface Hub configuration.

基本的なワイヤレス情報の開示: 802.11 またはそれ以外のワイヤレスネットワークでは、本質的に情報の漏えいのリスクがあります。Basic wireless information disclosure: Wireless networks, 802.11 or otherwise, are inherently at risk of information disclosure. この情報はほとんどの場合、接続またはデバイスのメタデータですが、この問題は、802.11 ネットワーク管理者にとって既知のリスクを負うものとします。Although this information is mostly connection or device metadata, this problem remains a known risk for any 802.11 network administrator. WPS-PIN でデバイス認証を行う Wi-Fi Direct では、同じ情報が PSK や Enterprise 802.11 ネットワークとして提供されています。Wi-Fi Direct with device authentication via WPS-PIN effectively reveals the same information as a PSK or Enterprise 802.11 network.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
ブロードキャスト、接続設定、または既に暗号化された接続の通常の操作では、デバイスとパケットサイズに関する基本情報はワイヤレスで送信されます。During broadcast, connection setup, or even normal operation of already-encrypted connections, basic information about devices and packet sizes is wirelessly transmitted. 基本的なレベルでは、ワイヤレス範囲内のローカル攻撃者は、関連する802.11 情報要素を調べて、ワイヤレスデバイスの名前、通信機器の MAC アドレス、ワイヤレススタックのバージョン、パケットサイズ、構成されているアクセスポイント、グループ所有者のオプションなどのその他の詳細情報を確認できます。At a basic level, a local attacker who's within wireless range can examine the relevant 802.11 information elements to determine the names of wireless devices, the MAC addresses of communicating equipment, and possibly other details, such as the version of the wireless stack, packet sizes, or the configured access point or group owner options. Surface Hub で使用される Wi-fi Direct ネットワークは、802.11 Enterprise または PSK ワイヤレスネットワークの場合と同様に、メタデータのリークから保護することはできません。The Wi-Fi Direct network that Surface Hub uses can't be further protected from metadata leaks, just like for 802.11 Enterprise or PSK wireless networks. ワイヤレス近接通信によって発生する可能性のある脅威の物理的なセキュリティと削除は、発生する可能性のある情報漏洩を減らすのに役立ちます。Physical security and removal of potential threats from wireless proximity can help reduce potential information leaks.

ワイヤレスの有害双発攻撃またはスプーフィング攻撃: ワイヤレス名のスプーフィングは、悪意のあるユーザーにとって、悪意のあるユーザーにとって無防備な、または誤解を伴う可能性があるユーザーのために使用できる、シンプルで有名な攻略です。Wireless evil twin or spoofing attacks: Spoofing the wireless name is a simple, well-known exploit a local attacker can use to lure unsuspecting or mistaken users to connect.

Wi-fi Direct の脆弱性Wi-Fi Direct vulnerability Surface Hub の軽減Surface Hub mitigation
攻撃者は、ターゲットネットワークのワイヤレス名または "SSID" をスプーフィングまたは複製することによって、ユーザーが偽装された悪意のあるネットワークに接続するように仕向けることができます。By spoofing or cloning the wireless name or "SSID" of the target network, an attacker may trick the user into connecting to a fake, malicious network. 認証されていない自動結合 Miracast をサポートすることによって、攻撃者は、目的の表示内容をキャプチャしたり、接続デバイスでネットワーク攻撃を開始したりすることができます。By supporting unauthenticated, auto-join Miracast, an attacker could capture the intended display materials or launch network attacks on the connecting device. スプーフィングされた Surface Hub への参加に対する特別な保護はありませんが、この脆弱性の一部は次の2つの方法で軽減されます。While there are no specific protections against joining a spoofed Surface Hub, this vulnerability is partially mitigated in two ways. まず、攻撃は物理的な Wi-Fi の通信範囲内から実行する必要があります。First, any potential attack must be physically within Wi-Fi range. 次に、この攻撃は最初の接続中にのみ可能です。Second, this attack is only possible during the first connection. 以降の接続では永続的な Wi-fi ダイレクトグループが使用され、今後のハブでの使用時に、Windows はこの前の接続を記憶して優先順位を付けます。Subsequent connections use a persistent Wi-Fi Direct group, and Windows will remember and prioritize this prior connection during future Hub use. (注: MAC アドレス、Wi-fi チャネル、SSID の同時スプーフィングは、このレポートに対して考慮されませんでした。また、Wi-fi の動作が不安定になることがあります)。全体的に、この弱点は、Wi-fi Direct でサポートされていないすべての802.11 ワイヤレスネットワークで、EAP-TLS や、EAP-PWD などのエンタープライズ WPA2 プロトコルを使用していない場合に発生します。(Note: Spoofing the MAC address, Wi-Fi channel, and SSID simultaneously was not considered for this report and may result in inconsistent Wi-Fi behavior.) Overall, this weakness is a fundamental problem for any 802.11 wireless network that lacks Enterprise WPA2 protocols such as EAP-TLS or EAP-PWD, which Wi-Fi Direct doesn't support.

Surface Hub のセキュリティ強化のガイドラインSurface Hub hardening guidelines

Surface Hub は、コラボレーションが容易で、迅速かつ効率的に会議を開始し、参加できる環境の構築を目的としたデバイスです。Surface Hub is designed to facilitate collaboration and allow users to start or join meetings quickly and efficiently. Surface Hub の既定の Wi-fi ダイレクト設定はこのシナリオに合わせて最適化されています。The default Wi-Fi Direct settings for Surface Hub are optimized for this scenario.

その他のワイヤレスインターフェイスのセキュリティを確保するために、Surface Hub ユーザーは WPS-PIN セキュリティ設定を有効にする必要があります。For additional wireless interface security, Surface Hub users should enable the WPS-PIN security setting. この設定では、WPS-PBC モードが無効になり、クライアント認証が提供されます。This setting disables WPS-PBC mode and offers client authentication. Surface Hub への不正な接続を防止することで、最強レベルの保護を提供します。It provides the strongest level of protection by preventing unauthorized connection to Surface Hub.

Surface Hub の認証と承認についてまだ懸念事項がある場合は、デバイスを別のネットワークに接続することをお勧めします。If you still have concerns about authentication and authorization for Surface Hub, we recommend that you connect the device to a separate network. Wi-fi ("ゲスト" Wi-fi ネットワークなど)、または独立したイーサネットネットワーク (できればまったく異なる物理ネットワーク) を使うことができます。You could use Wi-Fi (such as a "guest" Wi-Fi network) or a separate Ethernet network, preferably an entirely different physical network. ただし、VLAN ではセキュリティを強化することもできます。But a VLAN can also provide added security. この方法では、内部ネットワークリソースまたはサービスへの接続ができなくなったり、アクセスを回復するために追加のネットワーク構成が必要になることがあります。Of course, this approach may preclude connections to internal network resources or services and may require additional network configuration to regain access.

また以下のことをお勧めします。Also recommended:

詳細情報Learn more