Surface Hub による Wi-Fi Direct のセキュリティ問題への対応

Microsoft Surface Hub は、チームのブレーンストーミング、コラボレーション、アイデアの共有を通じて生産性向上を図るオール イン ワン型デバイスです。 Surface Hub は、Wi-Fi Direct 経由で Miracast を使用してワイヤレス プロジェクションを実行します。

このトピックでは、Wi-Fi Direct が抱えるセキュリティ上の脆弱性とそれらのリスクに対する Surface Hub での対処方法を説明すると共に、Surface Hub の管理者が最高レベルのセキュリティを実現するためのデバイスの構成方法を示します。 このセキュリティ強化のための情報は、高度なセキュリティ要件を持つお客様が、Surface Hub が接続されたネットワークや伝送データを保護する最適な方法を理解するうえで役立ちます。

このトピックは、Surface Hub を最適なセキュリティ設定で企業環境に展開することに関心を持つ IT およびネットワーク管理者を対象としています。

概要

Microsoft Surface Hub のセキュリティは、Wi-Fi Direct と Miracast およびそれらに関連する 802.11、Wi-Fi 保護アクセス (WPA2)、Wireless Protected Setup (WPS) 規格に大きく依存します。 このデバイスでは WPA2 Pre-Shared Key (PSK) や WPA2 EnterpriseWPS をサポートせず、WPS のみをサポートすることで、802.11 暗号化に伴う従来の問題に根本的に緩和しています。

Surface Hub は一連の Miracast レシーバーと同様に動作するため、すべての WPS ベースのワイヤレス ネットワーク デバイスとほぼ同じ脅威から保護され、ほぼ同じ脅威に対する脆弱性を持ちます。 しかし Surface Hub での WPS の実装には、さらに追加の予防策が組み込まれています。またその内部アーキテクチャは、攻撃者が Wi-Fi Direct と Miracast のレイヤーを侵害した場合も、その後ネットワーク インターフェイスを通過して別の攻撃対象や接続されたエンタープライズ ネットワークに移動しないように対策が講じられています。詳しくは、「Wi-Fi Direct の脆弱性と Surface Hub での対策」をご覧ください。

Wi-Fi Direct の背景情報

Miracast は Wi-Fi Display 規格に含まれ、それ自体が Wi-Fi Display プロトコルでサポートされています。 最新のモバイル デバイスでは、これらの規格をサポートすることで画面の共有とコラボレーションを実現しています。

Wi-Fi Direct、つまり Wi-Fi 経由の "ピア ツー ピア" (P2P) は、Wi-Fi Alliance から "アドホック" ネットワークとして公開された規格です。 この規格では、規格に対応するデバイス同士が、従来のような Wi-Fi アクセス ポイントやインターネット接続経由ではなく、直接通信し、ネットワーク グループを作成できます。

Wi-Fi Direct のセキュリティは、WPS を使用する WPA2 によって提供されます。 デバイスの認証メカニズムには、数値の暗証番号 (WPS-PIN)、物理または仮想プッシュ ボタン (WPS-PBC)、帯域外メッセージ (近距離無線通信 (WPS-OOO) など) のいずれかを使用できます。 Microsoft Surface Hub は、プッシュ ボタン (既定) と PIN の両方の方法をサポートします。

Wi-Fi Direct のグループは、保存されたキー マテリアルを使って自動的に再接続できる "永続グループ" か、ユーザーの介入や操作なしにはデバイスの再認証ができない "一時グループ" のいずれかとして作成されます。 Wi-Fi Direct グループでは通常、ネゴシエーション プロトコルによってグループ所有者 (GO) が決定します。GO は確立された Wi-Fi Direct グループに対して、”ステーション” 機能や ”アクセス ポイント” 機能に相当する機能を提供します。 この Wi-Fi Direct GO は、("内部レジストラー" 経由で) 認証を行い、上位サーバーへのネットワーク接続を支援します。 Surface hub では、この GO のネゴシエーションは実行されません。ネットワークは "自律" モードでのみ動作し、Surface Hub は常にグループ所有者であるためです。 最後に、Surface Hub 自体は他の Wi-Fi Direct ネットワークにクライアントとして参加しておらず、また参加することはありません。

Wi-Fi Direct の脆弱性と Surface Hub での対策

Wi-Fi Direct の招待、ブロードキャスト、検出の各プロセスでの脆弱性と攻撃: Wi-Fi Direct と Miracast への攻撃は、グループの確立、ピアの検出、デバイスのブロードキャスト、招待という各プロセスの弱点がターゲットになります。

Wi-Fi Direct の脆弱性 Surface Hub での対策
検出プロセスではアクティブな状態が長時間続くために、デバイス所有者が意図しない招待と接続を確立できる場合があります。 Surface Hub は常にグループ所有者 (GO) として動作し、クライアントの検出や GO のネゴシエーション プロセスは実行しません。 ワイヤレス プロジェクションを完全に無効にして、ブロードキャストをオフにすることができます。
PBC を使った招待と検出では、未認証の攻撃者が繰り返し接続を試みることができ、また未認証の接続が自動的に承認されます。 管理者は、WPS 暗証番号 (PIN) によるセキュリティを要求することで、このような不正接続や "招待爆弾" (ユーザーが誤って同意するまで招待状を繰り返し送信する) の可能性を低減できます。

WPS-PBC (Wi-Fi Protected Setup プッシュ ボタン接続) と 暗証番号 (PIN) の入力: WPS-PIN 方式の設計と実装には、実証済みの周知の弱点がいくつか存在します。一方、WPS-PBC には、1 回限りの使用を目的としたプロトコルへのアクティブな攻撃に対する別の脆弱性が存在します。

Wi-Fi Direct の脆弱性 Surface Hub での対策
WPS PBCは、アクティブな攻撃に対して脆弱です。 WPS 仕様に記載されているように、"PBC 方式はエントロピーが 0 ビットであり、パッシブな傍受攻撃に対する保護しか備えていません。 PBC は傍受攻撃からデバイスを保護し、デバイス所有者が選択した以外のネットワークにデバイスが参加することを防止します。 しかし、PBC は認証機能を備えていないため、アクティブな攻撃から防御することはできません。" 攻撃者は、選択的なワイヤレス ジャミングやその他のサービス拒否攻撃が可能な脆弱性を悪用して、無断で Wi-Fi Direct の GO や接続をトリガーすることができます。 またアクティブな攻撃者は、通信範囲内に物理的に入るだけで、あらゆる Wi-Fi Direct グループを繰り返し切断し、成功するまで上記の攻撃を試みることができます。 Surface Hub の構成では、WPS-PIN セキュリティが有効です。 Wi-Fi WPS 仕様に記載されているように、"PBC 方式は、暗証番号 (PIN) 対応のレジストラーが使用できない場合であって、WLAN ユーザーが PBC に伴うリスクを許容する場合のみに使用を制限する必要があります。"
WPS-PIN の実装によっては、WPS 規格の脆弱性を悪用したブルート フォース攻撃によって認証を破ることができます。 暗証番号 (PIN) が数桁ずつ分割して解読できる設計になっているため、過去数年間にわたり多様な Wi-Fi ハードウェア メーカーの実装に脆弱性が発生しました。 2011 年に、2 人の研究者 (Stefan Viehböck と Craig Heffner) がこの脆弱性に関する情報を発表し、その概念実証として "Reaver" などのツールが公開されました。 マイクロソフトの Surface Hub における WPS の実装では、30 秒ごとに暗証番号 (PIN) が変更されます。 攻撃者が PIN を解読するためには、30 秒未満で PIN 全体のブルートフォースを完了する必要があります。 ツールの現状とこの分野の調査結果から判断して、ブルートフォース攻撃による WPS の暗証番号 (PIN) 解読はほぼ不可能です。
WPS PIN は、最初のキー (E S1、S2 E) のエントロピーが弱いため、オフライン攻撃を使って解読できます。 2014 年に、Dominique Bongard は "ピクセル ダスト" 攻撃について論じ、ワイヤレス デバイス内の擬似乱数ジェネレーター (PRNG) で最初のランダム性に問題がある場合に、オフラインのブルートフォース攻撃が可能になることを指摘しました。 マイクロソフトの Surface Hub における WPS の実装では、暗証番号 (PIN) に対するこのオフラインのブルートフォース攻撃で PIN を解読することはできません。 WPS-PIN は接続ごとにランダム化されます。

ネットワーク サービスの予期しない暴露: 構成の誤り ("all"/0.0.0.0 インターフェイスへのバインドなど)、デバイスのファイアウォール構成の不備、ファイアウォール規則自体の不在などの理由で、イーサネットまたは WLAN サービス用のネットワーク デーモンが、予期せず暴露されることがあります。

Wi-Fi Direct の脆弱性 Surface Hub での対策
構成の誤りによって、脆弱なまたは未認証のネットワーク サービスが、Wi-Fi Direct インターフェイスを含む "すべての" インターフェイスにバインドされます。 これにより、サービスの認証が不十分になるか自動的に認証されるようになり、予期しないサービスが Wi-Fi Direct クライアントに公開される可能性があります。 Surface Hub の既定のファイアウォール規則では、必須の TCP と UDP ネットワーク ポートのみが許可され、すべての着信接続は既定で拒否されます。 WPS-PIN モードを有効することで、強力な認証を構成できます。

Wi-Fi Direct と他のワイヤード (有線) またはワイヤレス ネットワークのブリッジング: WLAN またはイーサネット ネットワーク間のブリッジングは Wi-Fi Direct 仕様に違反し、そのようなブリッジングまたは構成の誤りによって、内部の企業ネットワークに対するワイヤレス アクセス制御が大幅に低下または消滅する可能性があります。

Wi-Fi Direct の脆弱性 Surface Hub での対策
ブリッジされたネットワーク接続への未認証または不完全な認証のアクセスが、Wi-Fi Direct デバイスによって許可される可能性があります。 これにより、Wi-Fi Direct ネットワークが既存の IT セキュリティ プロトコルに違反して、内部イーサネット LAN やその他のインフラストラクチャ、または企業 WLAN ネットワークにトラフィックをルーティングする可能性があります。 Surface Hub では、ワイヤレス インターフェイスのブリッジを構成することも、異種のネットワーク間のルーティングを許可することもできません。 既定のファイアウォール規則は、このようなルーティングまたはブリッジ接続をさらにきめ細かく防御します。

Wi-Fi Direct の "レガシ" モードの使用: "レガシ" モードでの動作中に、意図しないネットワークやデバイスが暴露されると、危険が伴う可能性があります。 WPS-PIN が有効でない場合、デバイスのスプーフィングや意図しない接続が行われる可能性があります。

Wi-Fi Direct の脆弱性 Surface Hub での対策
Wi-Fi Direct と 802.11 インフラストラクチャ クライアントの両方をサポートすると、システムが "レガシ" サポート モードで動作します。 これにより、接続セットアップ フェーズが永久的に暴露され、意図されたセットアップ フェーズが終了したはるか後に、グループの参加やデバイスへの接続の招待が実行できる可能性があります。 Surface Hub は、Wi-Fi Direct のレガシ クライアントをサポートしません。 WPS-PIN モードが有効な場合でも、Surface Hub に対して確立できるのは Wi-Fi Direct 接続のみです。

接続セットアップ中の Wi-Fi Direct の GO ネゴシエーション: Wi-Fi Direct 内のグループ所有者は、従来の 802.11 ワイヤレス ネットワークの "アクセス ポイント" に相当します。 ネゴシエーションは、悪意のあるデバイスによって操作される可能性があります。

Wi-Fi Direct の脆弱性 Surface Hub での対策
グループが動的に確立される場合や、Wi-Fi Direct デバイスを新しいグループに参加させることができる場合、グループ所有者 (GO) のネゴシエーションで、グループ所有者の ”インテント” 値を常に最大の 15 に指定している悪意のあるデバイスが勝つ可能性があります。 (ただし、このようなデバイスが常にグループ所有者になるように設定されている場合を除きます。その場合、接続に失敗します。) Surface Hub では、Wi-Fi Direct の "自律モード" を利用しているため、接続セットアップの GO ネゴシエーション フェーズが省略されます。 Surface Hub は、常にグループ所有者です。

意図的でないまたは悪意のある Wi-Fi 認証解除: Wi-Fi 認証解除は昔からある攻撃です。対象の場所に物理的に存在する攻撃者によって行われ、接続セットアップ プロセスに対して情報リークを促進するか、新しい 4 方向のハンドシェイクをトリガーするか、Wi-Fi Direct WPS-PBC に対してアクティブ攻撃を行うか、サービス拒否攻撃を行います。

Wi-Fi Direct の脆弱性 Surface Hub での対策
未認証の攻撃者が認証解除パケットを送信してステーションで再認証を発生させ、その結果生じるハンドシェイクを傍受できます。 さらに発生するハンドシェイクに対して、暗号化攻撃やブルートフォース攻撃を試みることができます。 これらの攻撃に対する軽減策には、事前共有キーの長さと複雑さに関するポリシーの実施、アクセス ポイントの構成 (必要な場合) による認証解除パケットの悪意レベルの検出、WPS を使った強いキーの自動生成、があります。 PBC モードでは、ユーザーが物理的または仮想的ボタンを操作して、任意のデバイス関連付けを実行できます。 このプロセスは、セットアップが処理される短時間にのみ実行でき、ボタンが自動的に "プッシュ" されると、デバイスは暗証番号 (PIN) の標準値 (すべて 0) 経由で関連付けてられている任意のステーションを受け入れます。 認証解除によって、セットアップ プロセスの繰り返しを強制できます。 現行の Surface Hub の設計では、WPS が PIN モードまたは PBC モードで使用されます。 PSK 構成が抑制されており、強力なキー生成の実施に役立ちます。 WPS-PIN を有効にすることをお勧めします。
認証解除パケットはサービス拒否攻撃に使えるだけでなく、再接続をトリガーして、WPS-PBC へのアクティブ攻撃を実行できる時間枠を再度開始するために使うことができます。 Surface Hub の構成では、WPS-PIN セキュリティが有効です。

基本的なワイヤレス情報の漏洩: ワイヤレス ネットワークは、802.11 かそれ以外かを問わず、本来、情報の漏洩源です。 情報の多くは接続やデバイスのメタデータですが、802.11 の管理者にとってリスクは許容範囲にとどまります。 WPS-PIN でデバイス認証を行う Wi-Fi Direct では、同じ情報が PSK や Enterprise 802.11 ネットワークとして提供されています。

Wi-Fi Direct の脆弱性 Surface Hub での対策
ブロードキャスト、接続セットアップ、または既に暗号化されている接続の場合でも、デバイスとパケット サイズに関する基本情報がワイヤレスで送信されます。 基本的なレベルで言えば、ワイヤレス通信の範囲内にいる攻撃者は、関連の 802.11 の情報要素を調べることで、ワイヤレス デバイスの名前、通信機器の MAC アドレスのほか、場合によっては、ワイヤレス スタックのバージョン、パケット サイズ、[アクセス ポイント] や [グループ所有者] の構成済みオプションを確認できます。 Surface Hub で採用されている Wi-Fi Direct ネットワークは、それ以上メタデータの漏洩から保護できません。同様に、802.11 Enterprise や PSK ワイヤレス ネットワークでも、このようなメタデータが漏洩します。 物理的セキュリティを確保し、ワイヤレスの通信範囲にある脅威を除去することは、あらゆる情報リークの可能性を低減するうえで有用です。

ワイヤレスのスプーフィング攻撃、別名 Evil Twin (悪魔の双子): ワイヤレス名のスプーフィングは、通信範囲内に物理的に存在する攻撃者が、無防備なユーザーを騙して接続させるという平凡でよく知られた手口です。

Wi-Fi Direct の脆弱性 Surface Hub での対策
攻撃者は対象のネットワークのワイヤレス名 ("SSID") にスプーフィングする (なりすます) かそれを複製し、ユーザーを誤解させて悪意のある偽のネットワークに誘導することができます。 認証されていない Miracast の自動参加がサポートされているため、攻撃者は目的の表示素材をキャプチャしたり、接続されているデバイスにネットワーク攻撃を試みたりすることができます。 スプーフィングしている Surface Hub の参加を防止する特定の対策は講じられていませんが、この攻撃の一部は、次の 2 つの方法で軽減されています。 まず、攻撃は物理的な Wi-Fi の通信範囲内から実行する必要があります。 2 番目に、この攻撃は、最初の接続時のみ実行できます。 以降の接続では Wi-Fi Direct の永続グループが使われるため、将来 Hub を使う際には、この最初の接続が Windows によって記憶されて優先順位が設定されます。 (注: このレポートでは、MACアドレス、Wi-Fi チャネル、SSID が同時にスプーフィングされる場合を考察していませんが、一貫性のない Wi-Fi 動作が発生する可能性があります)。総じて、この弱点は、EAP-TLS や EAP-PWD などの Enterprise WPA2 プロトコルを使わない 802.11 ワイヤレス ネットワークに関する根本的な問題ですが、そのようなネットワークは Wi-Fi Direct ではサポートされていません。

Surface Hub のセキュリティ強化のガイドライン

Surface Hub は、コラボレーションが容易で、迅速かつ効率的に会議を開始し、参加できる環境の構築を目的としたデバイスです。 そのため、Surface Hub の既定の Wi-Fi Direct 設定は、このシナリオに最適化されています。

ワイヤレス インターフェイスに関するセキュリティを強化する必要がある Surface Hub ユーザーは、WPS PIN セキュリティの設定を有効にすることをお勧めします。 これにより、WPS-PBC モードが無効になってクライアント認証が実行されるため、認証なしに Surface Hub に接続することができなくなり、保護レベルが最大限に強化されます。

Surface Hub の認証と承認について懸念が残る場合は、Wi-Fi ("ゲスト" Wi-Fi など) または別のイーサネット ネットワークを使って、別のネットワークにデバイスを接続することをお勧めします (完全に分離された物理ネットワークを利用できれば理想的ですが、VLAN によっていくらかセキュリティを強化することもできます)。 もちろん、このアプローチでは、内部のネットワーク リソースやサービスに接続できなくなることがあり、その場合、追加のネットワークを構成してアクセスを回復する必要があります。

また以下のことをお勧めします。

詳細情報