以下のセキュリティ編の続編です。先にセキュリティ編に目を通して、無線LANシステムの概要を掴んでおくと、当記事の内容が理解しやすいでしょう。
無線LANの安全性と言ったとき、通信内容や認証情報の保護はもちろんですが、利用者の実名や、アクセスしたウェブサイト、利用場所や移動経路(行動)といった個人情報の保護も、プライバシーの観点から重要なものでしょう。
もし、利用者アカウントを発行する事業者が、無線LANサービスも一緒に提供しているなら、利用者のプライバシーはすべてその事業者のプライバシーポリシーに応じて取り扱われていることでしょう。この記事では、事業者が分かれているような、ローミング環境を想定して解説します。
結論として、どこまでプライバシーが保護されるかは、事業者のポリシーに依存するとしか言えません。ただし、WPA2-Enterprise (WPA3も同じ) には優れたプライバシー保護機構があり、条件によっては、アカウント発行者以外に対してある程度のプライバシー保護を強制できます。
例えばeduroamでは、訪問先機関に対して、所属機関は秘密にできませんが、実際の利用者の特定につながるアカウントは秘密にできます。
無線LANローミングシステムの基本
最初に、当記事で想定する無線LANローミングシステムの基本構成を見てみましょう。下図のように、無線LANを提供する機関と、アカウントを発行する機関、そして、場合によってはそれを仲介する機関があります。
IdP
アカウントを発行し、認証処理を行うAuthentication/Authorization/Accounting (AAA)サーバ、もしくは、その運用に責任のある機関を指します。Wi-Fi業界では同様の機関をHome Service Provider (HSP)と呼ぶことがあります。
SP
無線LANや、場合によっては有線LANの接続サービスを提供する機関のことを指します。Wi-Fi業界ではVisited Network Provider (VNP)と呼ぶことがあります。複数のアクセスポイントがある場合は、それを集約するための中間プロキシを持っているのが普通です。
RO (Roaming Operator, ローミング事業者)
IdPとSPを結び、認証連携によるローミングを実現するための、仲介業者を指します。中間プロキシが主な構成要素です。
EAP
Extensible Authentication Protocol (拡張認証プロトコル)の略です。セキュリティ編で説明したとおり、様々な認証方式をサポートし、TLSによる認証情報の保護も可能です。
実際の利用者を知ることができるのは誰か?
現代的な無線LANローミングシステムでは、セキュリティとプライバシーの観点から、EAPを使うのが一般的です。それでは、EAPを利用している環境下で、実際の利用者を把握している、もしくは、知ることができるのは、誰でしょうか?
まず、IdPについては、自らアカウントを発行している立場上、実利用者を知っているのは当然でしょう。(本人確認をしないザルなシステムは論外として)
SPとROについてはどうでしょう?実際は、SPとIdPの間の契約に依存しますが、標準的なRADIUSの仕組みでは、IdPが明示的に実利用者の情報をSPやROに通知しない限り、SPもROも実利用者を知ることができません。SPとROは、EAPトンネルの外側にあるouter identityを見ることができても、実際に認証に使われるinner identityを見ることができません。これがEAPトンネルによるプライバシー保護の仕組みです。
[2021/5/31追記] キャリアWi-FiでPEAPを使う場合はこの説明のとおりですが、SIM認証の場合はEAPトンネルがないので、別の保護が必要になります。
Outer identityには、利用者の実際のユーザ名(アカウント)を入れておくこともできます。しかし、SPやROがこの内容を見ることができても、それが実世界の誰に紐付けられているのかを知る手段はなく、また、outer identityは自由に書き換えられるので、証拠にもなり得ません。
Androidの設定画面では、「匿名ID」がouter identityに設定されます。ここをブランクのままにすると、実際のアカウント(この例ではpiyopiyo@~)が用いられます。
ユーザIDの @ 以下にあるレルム名は、どのIdPに認証情報を送るかをROが知るために用いられます。そのため、outer identityのレルム名は変更できません。もし利用者を匿名にしたい場合は、@ の前を anonymous という文字列にすることが推奨されています。
まとめると、
- 利用者の所属機関が訪問先機関やローミングオペレータに利用者の個人情報を提供していない
- outer identityに匿名IDを使用している
- 端末側で「サーバ証明書の検証」を有効にしている (SPやROが不正にEAPを終端できないように)
のすべて満たされていれば、利用者は自分の所属機関以外に対して匿名でいられます。
eduroamでは、端末の接続設定にeduroam CAT (Configuration Assistant Tool)を用いることが推奨されています。手作業ではouter identityが変更できないiOSでも、CATを使うと匿名が用いられるようになります。
所属機関はバレるの?
前項に書いたとおり、レルム部分は匿名化できないため、訪問先機関は利用者の所属機関を知ることができます。これは、万一、利用者が訪問先機関のネットワーク上で悪事を働いてしまった場合に、機関間で連携して問題解決を図るために、必要な仕組みです。
通信内容は訪問先機関に見られる?
訪問先機関のネットワークを利用している以上、技術的には、その機関がネットワーク上の通信を傍受することは容易にできます。しかしながら、大学と言えども、通信事業者と同様に通信内容の守秘義務があります。
利用者が閲覧したサイトの情報はどうでしょうか?実はこれ、ちょっと注意が必要です。まず、端末のアクセス先のIPアドレスは、もちろん、通信事業者が容易に知ることができます。ドメイン名の検索状況と組み合わせれば、どのウェブサイトにアクセスしたかも把握できます。通信事業者にはもちろん守秘義務がありますが、社内にダメな奴がいないとは限らないので、それなりに覗かれている可能性は覚悟しておくべきでしょう。
(ここまで気にするなら、VPNを使い、DNSも無線LANサービスのものを使わないぐらいの慎重さが必要でしょう)
[2022/4/22追記] 最近のウェブはHTTPSで暗号化されているのが一般的です。これにより、端末利用者とウェブサーバの管理者を除いて、間にある通信事業者や大学は、通信内容を解読することができません。これらの機関が取得できるのは、「機関○○の誰か(匿名)が、何時頃、どこそこのIPアドレスにアクセスした」程度の情報に限定されます。
利用者と契約のあるプロバイダや携帯電話会社の場合は、利用者情報を自前で持っているため、具体的に誰(の端末)か判ります。一方、ローミング環境で、ID提供と端末利用場所の機関が異なる場合は、不正利用時の追跡を除いて、基地局側のみで利用者を特定することは困難です。
行動情報は取られる?
特にフリーWi-Fiにおいては、利用者が匿名であっても、「どの人(端末)がどこそこの店をハシゴした」といった行動情報は、スポンサーや通信事業者のビジネス上の大きな関心事です。こういった行動情報は、取得されてしまうのでしょうか?
EAPを適切に使うことで、IdP以外の事業者に対して、利用者は匿名にできます。しかし、利用者認証の方式や有無に関わらず、無線LANシステムを使っている限り、行動情報はある程度取得されてしまいます。無線LANでは、端末ごとに固有のMACアドレスが振られており、これを利用(悪用?)して、端末の追跡が可能です。端末が基地局を探す際のプローブ動作で、この電波に含まれるMACアドレスを利用する行動解析システムが存在します。この手のシステムは、利用者がそもそもサインアップすらしていないので、オプトアウトすらできないという問題があります。行動追跡を確実に拒否したいならば、端末の無線LAN機能をオフにして街を歩くしかないでしょう。
IdPに対してはどうでしょう?これはローミング契約の内容に依存します。SPがIdPに対して、アクセスポイントの情報や位置情報を提供している場合、IdPは実利用者の情報とともに、行動追跡が可能となります。ローミング環境で、認証が前提ならば、オプトインなりオプトアウトの手段は用意されるでしょう。
無線LAN機器による行動情報の取得・利用については、さすがに利用者の反発も大きく、最近では状況が刻々と変化しています。AppleやGoogle、Microsoftといった、端末側のOSベンダがプライバシー保護に舵を切ったことが大きいでしょう。詳しくは別の記事で解説するつもりですが、オプトイン無しの行動情報の利用は、以前と比べてだいぶ制限されるようになってきました。
具体的な対策としては、MACアドレスランダム化があります。端末のMACアドレスをランダム化することで、同一端末の追跡を困難にするというものです。一方で、行動情報には、都市計画や災害対策といった有益な利用目的もあります。そのため、人々に無断でコソコソとデータマイニングするのではなく、十分な広報の上で、確実なオプトインまたはオプトアウトが可能になるような技術および運用ルールの開発が必要でしょう。
おわり
