
エンタープライズ無線セキュリティアセスメント:完全フレームワーク
目次
このフレームワークは、エンタープライズ環境で活動するプロのペネトレーションテストチームが実践する完全なアセスメントライフサイクルをカバーしています。スコーピングとプリエンゲージメント、パッシブ偵察、不正AP検出、WPA2/WPA3ハンドシェイク分析、PMF検証、クライアント分離テスト、EAP/RADIUSアセスメントという6つの連続フェーズと、レポートテンプレートおよびツールキットリファレンスで構成されています。各フェーズは、エンタープライズグレードの無線テストに必要なモニターモードの安定性、インジェクション機能、マルチバンドカバレッジを提供するALFA Networkアダプターでの実行を想定しています。
年次無線監査を委託するCISO、アセスメントを準備する内部レッドチーム、新しいエンタープライズクライアントをオンボーディングする外部ペネトレーションテスト会社のいずれであっても、このフレームワークは反復可能で説明責任のある方法論を提供します。
スコーピングとプリエンゲージメントの要件#
無線アセスメントの品質は、最初のパケットをキャプチャする前に決まります。スコープが不適切なエンゲージメントは時間を無駄にし、法的リスクを生み、特定のインフラに帰属できない調査結果しか生み出しません。適切に構成されたスコープ文書は曖昧さを排除し、テストチームとクライアントの双方を保護します。
スコープ文書に含めるべき事項#
スコープ文書には、最低限以下を列挙する必要があります:
- テスト対象のすべてのSSID:企業SSID、ゲストSSID、IoT専用SSID、ネットワークチームが把握している隠しネットワークを含む
- 使用中の周波数帯域:2.4 GHz、5 GHz、6 GHz(Wi-Fi 6E)— 各帯域で異なるAPモデル、ドライバー動作、セキュリティ設定が存在する可能性がある
- 物理的境界:既知のAP設置場所を示す建物またはキャンパスの地図と平面図(スキャン結果に隣接テナントのSSIDが現れる可能性がある複数テナントビルでは特に重要)
- 承認済みAPインベントリ:不正AP検出のベースラインとして使用される、すべての正規アクセスポイントのMACアドレス(BSSID)リスト
- 承認書:CISO、CTO、または委任された資産所有者が署名したもので、テスト期間(開始・終了日時)、テストチームメンバーの氏名、承認された具体的な活動(パッシブスキャン、アクティブインジェクション、デオーセンティケーション、不正APシミュレーション)を明示したもの
デフォルトでスコープ外となるもの#
書面で明示的に含めない限り、以下は常にスコープ外です:
- クライアントデバイス:無線ネットワークに接続するラップトップ、携帯電話、IoTエンドポイント。クライアントサイドアタック(不正RADIUSによる認証情報の取得)は指定のテストデバイスにのみ実施し、本番ユーザー機器には絶対に行わない
- ゲストネットワークユーザー:公開アクセスのゲストSSIDに接続している個人は、セキュリティテストの対象となることを想定していない
- 隣接ネットワーク:パッシブスキャンで見えていても、共有ビル内の隣接テナントが所有するSSID
法的リマインダー#
フェーズ1:パッシブ偵察#
目標#
パッシブ偵察は、1バイトも送信することなく無線環境の実態を確立します。目的は以下の通りです:
- 承認済みインベントリに含まれていないものを含め、範囲内でブロードキャストしているすべてのAPを特定する
- SSID、BSSID、動作チャンネル、信号強度、セキュリティ設定(暗号化タイプ、PMFステータス)を記録する
- プローブ応答から隠しSSIDを検出する
- テストの信頼性に影響する可能性のある同一チャンネルおよび隣接チャンネルの干渉を特定する
パッシブ偵察中は、インジェクション・デオーセンティケーション・送信を一切行わないでください。このフェーズは完全にリスニングのみです。
ツール#
airodump-ng はスナップショットスキャンとハンドシェイクキャプチャに適しています。より豊富なメタデータを持つ継続的なロギングには Kismet が推奨されます。Kismetはレポートツールにインポートできる構造化ログを生成し、時間をかけてプローブリクエストをデバイスIDに関連付けます。
# Passive scan across all bands — DO NOT inject or deauth during recon
sudo airodump-ng wlan0mon --band abg -w enterprise_recon
# Kismet for comprehensive, continuous logging
sudo kismet -c wlan0monKismetは .kismet SQLiteデータベースファイルと .pcapng キャプチャを同時に書き込み、アセスメント期間を通じて持続する記録を提供します。
記録すべき情報#
発見された各APについて、以下を記録してください:
| フィールド | 備考 |
|---|---|
| BSSID | APラジオのMACアドレス |
| SSID | ネットワーク名(隠しの場合は空) |
| 暗号化 | WPA2-PSK, WPA2-Enterprise, WPA3-SAE, WPA3-Enterprise, Open |
| チャンネル | 2.4 GHzと5 GHzの両方に現れるデュアルラジオAPに注意 |
| 信号強度 (dBm) | 物理的な位置推定に有用 |
| PMFステータス | ビーコンフレームのRSN IEから抽出:Required / Capable / Disabled |
| ベンダー | BSSID OUIから導出 — 未承認の家庭用グレードハードウェアの識別に有用 |
アダプターの推奨#
- AWUS036AXML — トライバンド(2.4/5/6 GHz)、6 GHzチャンネルで動作するWi-Fi 6E APを検出するために必須。Wi-Fi 6Eインフラを展開している現代のエンタープライズ環境で不可欠
- AWUS036ACH — デュアルバンド(2.4/5 GHz)、信頼性の高いRTL8812AUチップセット、6 GHzが使用されておらず既存ツールとの最大限の互換性が求められる環境に最適
フェーズ2:不正AP検出#
不正アクセスポイントとは、承認済みAPインベントリに含まれていない、環境内で動作するすべてのAPです。運用上関連する2つのカテゴリがあります:
- 内部ネットワークに接続された未承認のAP — 善意の従業員が家庭用ルーターを接続する、または物理アクセスを得た攻撃者がイーサネットポートに隠しAPを設置するケース。これらのAPは内部ネットワーク上にあり、すべての境界コントロールをバイパスします。
- イービルツインAP — 認証情報の取得やマンインザミドルアタックを目的として攻撃者が運用する、正規と見せかけたSSID(企業SSIDと同一または酷似したもの)をブロードキャストするAP。通常、ネットワークには接続されていません。
検出方法#
パッシブ偵察で得たBSSIDリストを、スコーピング時に提供された承認済みAPインベントリと比較します。インベントリに含まれていない企業SSIDをブロードキャストしているBSSIDは、不正AP候補です。
# Filter scan output for corporate SSID to isolate all APs broadcasting it
sudo airodump-ng wlan0mon | grep "CorporateSSID"
# Compare discovered BSSIDs against authorized list (example using diff)
# Save airodump BSSID column to discovered.txt, authorized list to authorized.txt
diff <(sort discovered.txt) <(sort authorized.txt)discovered.txt にあって authorized.txt にないBSSIDはすべて調査結果となります。
デオーセンティケーションベースの検出(承認された場合)#
デオーセンティケーションが明示的にスコープに含まれている場合、クライアントの再接続動作を使用して不正APが内部ネットワークに接続されているかどうかを確認できます。疑わしいAPからクライアントをデオーセンティケートし、クライアントが同じSSIDの正規APに再関連付けするかどうかを観察します。クライアントがスムーズにローミングする場合、不正APは同じバックエンドネットワークを共有している可能性があります。クライアントが再接続できない場合、不正APは分離されている(イービルツインシナリオ)と考えられます。
WIDS検証#
組織が無線侵入検知/防止システム(WIDS/WIPS)を展開している場合、このフェーズでは許容可能な時間枠内にWIDSがテスト用不正APを検出することを確認する制御テストを含めるべきです。インベントリ外のMACアドレスを使用して企業SSIDのテストAPを展開し、検出レイテンシを測定します。検出ウィンドウが60秒を超える場合、カバレッジに重大なギャップがあることを示します。
フェーズ3:WPA2/WPA3ハンドシェイク分析#
WPA2:4-Wayハンドシェイクキャプチャ#
WPA2の4-wayハンドシェイクをキャプチャすることで、ネットワークのパスフレーズが組織のパスワード複雑性ポリシーを満たしているかをオフラインで検証できます。これはパスフレーズのクラッキングをエンゲージメントの目標として推奨するものではなく、コンプライアンス検証です。キャプチャされたハッシュは、汎用ハードウェアを使用した攻撃者によって合理的な時間内にクラックされる可能性があるか?
# Target specific AP on channel 6 and write capture to file
sudo airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w handshake wlan0mon
# Convert captured .cap to hashcat format for offline audit
hcxpcapngtool -o hash.hc22000 handshake-01.cap結果の .hc22000 ハッシュを、組織が承認したワードリストとルールセットに対してオフラインパスワード監査ツールに提出します。パスフレーズが一般的なパスワードリスト(rockyou、社名の変形、キーボードウォークなど)から復元可能な場合、SSIDのネットワークアクセスレベルに応じてMediumまたはHighの調査結果として報告します。
WPA3:SAEとトランジションモード#
WPA3はSimultaneous Authentication of Equals(SAE)を使用し、フォワードシークレシーを提供してオフライン辞書攻撃に耐性があります。しかし、多くの組織はWPA2クライアントとの互換性を維持するために WPA3トランジションモード を展開しています。このモードはSAEとPSK認証の両方を受け入れます。同じSSIDにWPA2のみのビーコンを提示することでWPA3クライアントをWPA2にダウングレードさせられるかどうかをテストします。成功した場合はHighの調査結果です。
WPA3固有のテストの詳細については、WPA3セキュリティテストガイドをご覧ください。
フェーズ4:PMF(Protected Management Frames)テスト#
PMFが重要な理由#
802.11w Protected Management Frames(PMF)は、デオーセンティケーションおよびディスアソシエーション攻撃を防ぎます。PMFがない場合、攻撃者は任意のクライアントに偽のデオーセンティケーションフレームを送信して切断を強制し、ハンドシェイクキャプチャ、不正APによる認証情報取得、またはサービス拒否攻撃を可能にします。PMFはWPA3では必須であり、WPA2ではオプション(ただし強く推奨)です。
テスト手順#
テスト対象の各SSIDに関連付けられたテストクライアントに対してデオーセンティケーション攻撃を試みます。結果からPMFが適用されているかどうかがわかります:
# Attempt deauthentication flood against AP
sudo aireplay-ng --deauth 10 -a AA:BB:CC:DD:EE:FF wlan0mon
# If connected test client disconnects: PMF NOT enforced — reportable finding
# If test client remains connected: PMF enforced — passこのテストは常に指定のテスト機器に対して実施し、本番クライアントには絶対に行わないでください。
PMFステータスの報告#
各SSIDのPMF適用レベルを記録してください:
| SSID | 暗号化 | PMFステータス | 調査結果 |
|---|---|---|---|
| Corp-WiFi | WPA2-Enterprise | Capable (not required) | Medium |
| Corp-WiFi-6E | WPA3-Enterprise | Required | Pass |
| CorpGuest | WPA2-PSK | Disabled | High |
いずれかのSSIDでPMF無効 は、最低でもMediumの調査結果です。内部リソースへのアクセスがある企業SSIDでPMFが無効の場合はHighです。PMFテスト方法論の詳細については、パケットインジェクションガイドをご覧ください。
フェーズ5:クライアント分離テスト#
ゲストネットワーク分離#
ゲストSSIDはクライアント分離を強制する必要があります。つまり、あるゲストクライアントが別のゲストクライアントと直接通信できないようにしなければなりません。分離がない場合、ゲストネットワーク上の悪意のある行為者がARPポイズニング、LLMNR/NBT-NSスプーフィング、または他のゲストへの直接攻撃を行うことができます。
テスト手順:
- 2台の専用テストデバイス(本番ユーザーデバイスではない)をゲストSSIDに接続する
- デバイスAからデバイスBのIPアドレスへICMP pingを試みる
- デバイスAからゲストサブネットのARPスキャンを試みる
テストデバイス間でpingが成功した場合、クライアント分離が機能していないゲストSSIDはHighの調査結果となります。
ゲスト-内部ネットワーク分離#
ゲストネットワークが内部ネットワーク範囲に到達できないことを確認します:
# From a test device on guest SSID, ARP scan the internal network range
sudo arp-scan -l --interface wlan0
# Zero responses from internal range = pass
# Any response from internal range = Critical findingさらに、内部ホスト名のDNS解決と、内部管理インターフェース(SSH、HTTP管理パネル)への直接TCP接続も試みてください。ゲストセグメントから内部インフラへの接続が成功した場合はCriticalの調査結果となります。
フェーズ6:EAP/RADIUSアセスメント(エンタープライズSSID)#
802.1X認証と不正RADIUSアタック#
WPA2-EnterpriseとWPA3-Enterpriseは802.1X EAP認証を使用し、クライアントはRADIUSサーバーに認証します。重要なセキュリティコントロールは サーバー証明書の検証 です。各クライアントは認証情報を送信する前にRADIUSサーバーの証明書を検証する必要があります。クライアントが証明書を検証しない場合、攻撃者は不正APと不正RADIUSサーバーを展開してNTLMv2ハッシュまたはEAP認証情報を取得できます。
テスト手順#
hostapd-wpe を使用して企業SSIDで設定された不正APを展開します。これにより、すべての認証試行をログに記録する不正RADIUSサーバーに支援された802.1X対応APが作成されます:
# Install hostapd-wpe
sudo apt install hostapd-wpe
# Configure with the corporate SSID and appropriate channel
# Edit /etc/hostapd-wpe/hostapd-wpe.conf with target SSID/channel details
sudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf
# Monitor for captured credential hashes in the outputCriticalの調査結果: 本番802.1X SSIDに以前接続したことがあるテストクライアントを含む任意のクライアントが証明書警告を表示せずに不正RADIUSに接続した場合、またはユーザーが証明書警告を受け入れて認証情報がキャプチャされた場合、これはCriticalの調査結果です。クライアントが証明書ピンニングまたは適切なチェーン検証を実施していないことを示します。
修正策: MDM(モバイルデバイス管理)の設定プロファイルを通じて証明書ピンニングを展開し、正確なRADIUSサーバー証明書または発行CAを指定します。予期しない証明書プロンプトを拒否することについてエンドユーザーへの意識向上トレーニングを実施してください。
アセスメントツールキットリファレンス#
以下のツールは、エンタープライズ無線アセスメントの完全なワークフローをカバーします。すべてモニターモードのALFA Networkアダプターと互換性があります。アダプターのセットアップについては、Kali Linuxでモニターモードを有効にするガイドをご覧ください。
| ツール | 用途 | 推奨アダプター | 主なコマンド |
|---|---|---|---|
| airodump-ng | パッシブスキャン、ハンドシェイクキャプチャ | Any ALFA (AWUS036AXML / AWUS036ACH) | sudo airodump-ng wlan0mon --band abg |
| hcxdumptool | PMKIDキャプチャ、パッシブハンドシェイク収集 | AWUS036AXML (Wi-Fi 6E) | sudo hcxdumptool -i wlan0mon -o out.pcapng |
| hcxpcapngtool | キャプチャをhashcat形式に変換 | N/A (post-processing) | hcxpcapngtool -o hash.hc22000 cap.pcapng |
| Kismet | 継続的なロギング、SSID/クライアント相関 | AWUS036ACH | sudo kismet -c wlan0mon |
| aireplay-ng | PMFテスト、デオーセンティケーションインジェクション | AWUS036ACH | sudo aireplay-ng --deauth 10 -a BSSID wlan0mon |
| hostapd-wpe | EAPテスト用不正AP/不正RADIUS | AWUS036ACH | sudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf |
| Wireshark | キャプチャのパケットレベル分析 | Any (via capture file) | wireshark -r handshake-01.cap |
| arp-scan | ゲスト/内部ネットワーク分離の検証 | Any | sudo arp-scan -l --interface wlan0 |
レポートテンプレート#
エグゼクティブサマリー#
エグゼクティブサマリーは、無線セキュリティの背景知識を持たないCTOやCISOが読めるものでなければなりません。以下を含める必要があります:
- 全体的なリスク評価:Critical / High / Medium / Low — 確認された最も高い調査結果の深刻度から導出
- 深刻度別の主要調査結果件数
- コンプライアンスギャップの記述:関連する標準(PCI-DSS 4.0 要件11.2、ISO/IEC 27001 A.13.1、NIST 800-153)への言及と、評価された無線環境がそれらの要件を満たしているかどうか
- 即時対応事項:次の営業日までに修正が必要な調査結果
調査結果テーブル#
すべての技術的な調査結果は、各調査結果を深刻度、影響を受けるインフラ、具体的な修正推奨事項にマッピングする標準化されたテーブルで提示するべきです:
| ID | 深刻度 | 調査結果 | 影響を受けるSSID | 推奨事項 |
|---|---|---|---|---|
| WL-01 | Critical | ゲストSSIDにクライアント分離なし;テストデバイス間が直接通信可能 | CorpGuest | WLANコントローラーでAPクライアント分離を有効化;再テストで確認 |
| WL-02 | Critical | 802.1Xクライアントが証明書警告なしに不正RADIUSに接続 | Corp-WiFi | MDMで証明書ピンニングを展開;RADIUSサーバーCAトラストアンカーを設定 |
| WL-03 | High | 企業SSIDでPMF無効;デオーセンティケーション攻撃成功 | Corp-WiFi | すべてのWPA2 SSIDでPMF Requiredを有効化;ハードウェアが許す限りWPA3にアップグレード |
| WL-04 | High | インベントリ外BSSIDで企業SSIDを持つ不正APを検出 | Corp-WiFi-5G | 物理的なAPを調査;未知BSSIDのWIDSアラートを展開 |
| WL-05 | Medium | WPA2パスフレーズが一般的な辞書から4時間以内に復元可能 | Corp-IoT | 16文字以上のランダムなパスフレーズを強制;四半期ごとにローテーション |
| WL-06 | Low | ビーコンOUIとプローブ応答からAPベンダー/モデルが特定可能 | All | 脅威モデルが正当化する場合はAPフィンガープリントの難読化を検討 |
無線調査結果の深刻度定義#
| 深刻度 | 定義 | 例 |
|---|---|---|
| Critical | 認証情報の取得または内部ネットワークアクセスへの即時・悪用可能な経路 | 認証なしのオープンSSID、暗号化なし、ゲスト-内部ネットワーク侵害、802.1X不正RADIUS成功 |
| High | 迅速な修正が必要な重大なコントロール障害 | PMF Disabledのあるいは確認された不正APがネットワーク上に存在するWPA2、WPA3ダウングレード攻撃成功 |
| Medium | リスクを高めるが悪用に追加条件が必要なコントロールギャップ | 脆弱なパスフレーズポリシー、ダウングレード保護なしのWPA3トランジションモード |
| Low | 情報的または多層防御のギャップ | APモデルのフィンガープリンティング、SSID情報漏洩 |
常見問題
エンタープライズ無線セキュリティ評価にはどの段階が含まれますか?
完全な評価は6つの順序立てられた段階をカバーします:パッシブリコネッサンス、不正AP検出、WPA2/WPA3ハンドシェイク分析、PMF検証、クライアント分離テスト、EAP/RADIUS評価です。
無線セキュリティ評価前にどのような認証が必要ですか?
CISOまたは資産所有者が署名した書面による認証書を取得する必要があり、テスト時間枠、デバイスMACアドレス、認可された具体的な技術的手段を明確にカバーする必要があります。口頭での同意は不十分です。
不正AP(Rogue AP)をどう検出しますか?
パッシブリコネッサンスで得られたBSSIDリストと認可APリストを照合し、エンタープライズSSIDをブロードキャストするがリストにないBSSIDはすべて不正AP候補です。
PMF(保護管理フレーム)はなぜ重要ですか?
PMFはdeauthenticationとdisassociation攻撃を防ぎ、攻撃者がクライアント接続を強制切断してハンドシェイクをキャプチャしたりサービス拒否を実行したりするのを阻止します。WPA3では必須要件です。
WPA3移行モードのリスクは?
WPA3移行モードは互換性維持のためSAEとPSK認証を同時に受け入れます。攻撃者はWPA2のみをサポートするBeaconフレームをブロードキャストしてクライアントをダウングレードさせ、前方秘匿性を無効化する可能性があります。
関連リソース#
- パケットインジェクションガイド:aireplay-ngを使用したWiFiアダプターのテスト
- ALFAアダプターによるWPA3セキュリティテスト(2026)
- Kali Linuxでモニターモードを有効にする