以下、本発明について実施形態をもって説明するが、本発明は、後述する実施形態に限定されるものではない。図1は、本発明の不正な無線LAN(Local Area Network)のアクセスポイントを監視する監視システムを示す図である。以下、図1を参照して、監視システム100について説明する。
監視システム100は、監視サーバ110と、ハブ112a,112bと、アクセスポイント114と、端末装置120a,120b,120c,120dとを含んで構成されている。これらの装置は、LANが構築するネットワーク130に接続されている。
監視サーバ110は、不正な無線LANのアクセスポイントを監視するサーバ装置である。監視サーバ110は、ネットワーク130を介して端末装置120a〜120dから電波情報を収集し、不正な無線LANのアクセスポイントが開設されていないか監視する。
監視サーバ110は、Windows(登録商標)7、Windows Vista(登録商標)、Windows XP(登録商標)、Windows200X Server(登録商標)等のWindows(登録商標)シリーズ、Mac OS(登録商標)、UNIX(登録商標)、LINUX(登録商標)などのOSの管理下で、アセンブラ、C、C++、Java(登録商標)、JavaScript(登録商標)、PERL、PHP、RUBY、PYTHONなどのプログラム言語で記述された本発明のプログラムを実行する。
監視サーバ110は、本発明のプログラムを実行するための実行空間を提供するRAM、プログラムやデータなどを持続的に保持するためのハードディスク装置(HDD)やフラッシュメモリなどの記憶装置を含んでおり、本発明のプログラムを実行することにより、後述する本実施形態の各機能を監視サーバ110上に実現する。本実施形態の各機能部は、上述したプログラミング言語などで記述された装置実行可能なプログラムにより実現できる。本発明のプログラムは、他の情報処理装置が可読な形式でネットワークを介して伝送することができる。
端末装置120a,120b,120c,120dは、無線通信機能を備えた情報処理装置である。端末装置120a,120b,120c,120dは、ネットワーク130を介して監視サーバ110に電波情報を提供すると共に、監視サーバ110の指示に基づいて種々の電波を送信する。図1に示す実施形態では、端末装置120a,120b,120cは、ハブ112a,112bを介してネットワーク130に接続されており、監視サーバ110と有線通信を行う。図1に示す端末装置120a,120b,120c,120dは、ノート型PCであるが、他の実施形態では、デスクトップ型PCやタブレット型PC等の各種コンピュータ、スマートフォンや携帯電話、PDF等の携帯情報端末などの情報処理装置を採用することができる。
端末装置120a,120b,120c,120dは、Windows(登録商標)7、Windows Vista(登録商標)、Windows XP(登録商標)、Windows200X Server(登録商標)、Windows Mobile(登録商標)等のWindowsシリーズ、Mac OS(登録商標)、UNIX(登録商標)、LINUX(登録商標)、Android(登録商標)、Google Chrome Os、TRON、ITRONなどのOSの管理下で、アセンブラ、C、C++、Java(登録商標)、JavaScript(登録商標)、PERL、PHP、RUBY、PYTHONなどのプログラム言語で記述された本発明のプログラムを実行する。
端末装置120a,120b,120c,120dは、本発明のプログラムを実行するための実行空間を提供するRAM、プログラムやデータなどを持続的に保持するためのハードディスク装置(HDD)やフラッシュメモリなどの記憶装置を含んでおり、本発明のプログラムを実行することにより、後述する本実施形態の各機能を端末装置120a,120b,120c,120d上に実現する。本実施形態の各機能部は、上述したプログラミング言語などで記述された装置実行可能なプログラムにより実現できる。本発明のプログラムは、他の情報処理装置が可読な形式でネットワークを介して伝送することができる。
アクセスポイント114は、無線通信機能を備えたモバイル・ルータ等のルータ装置であり、ネットワーク130に接続される。本実施形態では、アクセスポイント114は、監視システム100への接続が許可されている正規のアクセスポイントである。端末装置120a,120b,120c,120dは、アクセスポイント114を介して無線通信を行うことができる。
図1に示す監視システム100には、さらにアクセスポイント140が含まれる。アクセスポイント140は、監視システム100への接続が許可されていない不正なアクセスポイントであり、ハブ112bを介してネットワーク130に接続されている。
図2は、図1に示す監視システム100に含まれる監視サーバ110および端末装置120aの機能構成を示す図である。以下、図2を参照して、監視サーバ110および端末装置120aの機能構成について説明する。なお、端末装置120b,120c,120dの機能構成は、端末装置120aの機能構成と同一であるため、説明を省略する。
監視サーバ110は、アクセスポイント監視部200と、端末装置情報データベース212と、アドレスレンジ情報データベース214と、正規アクセスポイント情報データベース216と、疑似アクセスポイント情報データベース218とを含んで構成される。
アクセスポイント監視部200は、不正なアクセスポイントを監視する機能手段であり、端末情報登録部202と、不正アクセスポイント検出部204と、疑似アクセスポイント決定部206と、電波発信指示部208と、疑似アクセスポイント情報更新部210とを含んで構成される。
端末情報登録部202は、端末装置120a,120b,120c,120dから受信する電波情報を含む端末情報を端末装置情報データベース212に登録する機能手段である。端末情報登録部202は、これらの端末装置からネットワーク130を介して電波情報を受信すると、電波情報を含む端末情報を導出し、端末装置情報データベース212に登録する。なお、端末装置情報データベース212については、図3を参照して詳細に説明する。
不正アクセスポイント検出部204は、不正なアクセスポイントを検出する機能手段である。不正アクセスポイント検出部204は、正規アクセスポイント情報データベース216に登録された正規アクセスポイント情報と、端末装置情報データベース212に登録された端末情報とを使用して、不正なアクセスポイントが存在するか否か検出する。なお、正規アクセスポイント情報データベース216については、図3を参照して詳細に説明する。
疑似アクセスポイント決定部206は、不正なアクセスポイントによる無線通信を妨害する疑似的なアクセスポイント(以下、「疑似アクセスポイント」とする。)を決定する機能手段である。疑似アクセスポイント決定部206は、端末装置情報データベース212を参照して、不正なアクセスポイントによる無線通信を妨害するのに好適な当該アクセスポイントに近傍の端末装置を特定し、当該端末装置を疑似アクセスポイントとして決定する。
疑似アクセスポイント決定部206は、端末装置情報データベース212を参照し、疑似アクセスポイントとして決定した端末装置を特定する情報(端末装置名やMACアドレス、位置情報等)を監視サーバ110の表示装置に表示するなどして、監視システム100の管理者に通知する。この他、予め指定されたメールアドレスに当該情報を送信することによって管理者に通知してもよい。
電波発信指示部208は、疑似アクセスポイント決定部206が決定した端末装置に対して電波発信指示を送信する機能手段である。電波発信指示部208は、疑似アクセスポイントとすべき端末装置に対して電波発信指示を送信し、当該端末装置に電波を発信させる。
疑似アクセスポイント情報更新部210は、電波発信指示部208が電波発信指示を送信して疑似アクセスポイントとした端末装置の識別情報と、当該端末装置の位置情報とを含む疑似アクセスポイント情報を疑似アクセスポイント情報データベース218に登録する機能手段である。なお、疑似アクセスポイント情報データベース218については、図3を参照して詳細に説明する。
端末装置120aは、ソフトウェアエージェント220と、無線LANアダプタ制御部228と、無線LANアダプタ230と、電波情報データベース232とを含んで構成される。
ソフトウェアエージェント220は、端末装置120aにインストール可能なプログラムであり、電波情報取得部222と、電波情報送信部224と、電波発信部226とを含んで構成される。ソフトウェアエージェント220は、端末装置120aが起動している間、常に起動するプログラムとして実装することができ、または、ユーザの起動指示によって起動するプログラムとして実装することができる。
電波情報取得部222は、無線LANアダプタ228が検知する電波情報を取得する機能手段である。電波情報取得部222は、無線LANアダプタ制御部228を介して無線LANアダプタ230から定期的に電波情報を取得し、電波情報データベース232に登録する。なお、電波情報データベース232については、図3を参照して詳細に説明する。
電波情報送信部224は、電波情報を監視サーバ110に送信する機能手段である。電波情報送信部224は、定期的に電波情報データベース232から電波情報を取得し、当該電波情報を監視サーバ110に送信する。
電波発信部226は、不正なアクセスポイントの無線通信を妨害する電波を無線LANアダプタ230に発信させる機能手段である。電波発信部226は、監視サーバ110から電波発信指示を受信すると、電波情報データベース232に登録された電波情報を参照し、不正なアクセスポイントの無線通信を妨害するのに好適な電波を決定し、無線LANアダプタ制御部228を介して当該電波を無線LANアダプタ230に発信させる。電波発信部226は、端末装置120a,120b,120c,120dの識別情報およびプロトコル情報を載せて電波を発信させる。電波発信部226は、定期的に電波情報データベース232を参照し、不正なアクセスポイントからの電波情報が消失する迄、無線LANアダプタ230に電波を発信させる。
例えば、不正なアクセスポイントが、無線LAN通信プロトコルとしてIEEE802.11b/gを使用している場合、電波発信部226は、電波情報データベース232に登録された電波情報を参照し、当該アクセスポイントが使用しているチャネルを特定し、当該チャネルに割り当てられている周波数帯域と同一の周波数帯域の電波を無線LANアダプタ230に発信させることができる。
また、不正なアクセスポイントが使用するチャネルが経時的に変化する場合には、電波発信部226は、電波情報データベース232に登録された電波情報を参照し、不正なアクセスポイントが使用する変化後のチャネルを特定し、当該チャネルに割り当てられている周波数帯域と同一の周波数帯域の電波を無線LANアダプタ230に発信させることもできる。
さらに、電波発信部226は、電波情報データベース232に登録された電波情報を参照し、不正なアクセスポイントが使用するチャネルを特定し、当該チャネルを含むIEEE802.11b/gの総てのチャネルに割り当てられている周波数帯域と同一の周波数帯域の電波を無線LANアダプタ230に発信させることもできる。
他の実施形態では、電波発信部226は、不正なアクセスポイントにDoS攻撃を加えることにより、例えば、当該アクセスポイントに対して接続要求を連続して送信することによって不正なアクセスポイントの無線通信を妨害してもよい。
さらに、不正なアクセスポイントが送信するパケットが暗号化されている場合には、電波発信部226は、当該パケットの暗号を解読し、偽パケットを当該アクセスポイントに送信することによって当該アクセスポイントの無線通信を妨害してもよい。この場合、電波発信部226は、解読したパケットの情報をログやジャーナル等として保存してもよい。
無線LANアダプタ制御部228は、無線LANアダプタ230を制御する機能手段である。無線LANアダプタ制御部228は、上位プログラムであるソフトウェアエージェント220の指示により、無線LANアダプタ230を制御する。また、無線LANアダプタ制御部228は、ソフトウェアエージェント220の指示により、無線LANアダプタ230が検知した電波に関する電波情報を提供する。
無線LANアダプタ230は、電波を送受信可能なアンテナを備えて構成される無線LAN通信を行う装置である。無線LANアダプタ230は、周囲のアクセスポイントが発信する様々な電波を検知し、当該電波をA/D変換して無線LANアダプタ制御部228に通知する。また、無線LANアダプタ230は、無線LANアダプタ制御部228の制御下で、指定された周波数帯域の電波を発信し、または、特定のパケットを送信する。
図3は、監視サーバ110および端末装置120a,120b,120c,120dが有する各種データベースのデータテーブルの一実施形態を示す図である。以下、図3を参照して、これらのデータベースのデータテーブルについて説明する。
IPアドレスレンジ情報テーブル310は、監視サーバ110が備えるアドレスレンジ情報データベース214のデータテーブルである。IPアドレスレンジ情報テーブル310には、IPアドレス範囲312と、位置情報314とが関連付けて登録される。これらの情報は、監視システム100の管理者によって予め設定される。
IPアドレス範囲312は、端末装置120a,120b,120c,120dに割り当てられるIPアドレスの範囲である。本実施形態では、ユーザが端末装置120a,120b,120c,120dをネットワーク130に接続したときに、監視システム100が有するDHCP(Dynamic Host Configuration Protocol)サーバがIPアドレス範囲312内のIPアドレスが端末装置120a,120b,120c,120dに自動的に割り当てられる。
他の実施形態では、ユーザが端末装置120a,120b,120c,120dをネットワーク130に接続したときに、手動でIPアドレス範囲312内のIPアドレスを指定することもできる。
位置情報314は、IPアドレス範囲312に含まれるIPアドレスが割り当てられる端末装置120a,120b,120c,120dがネットワーク130に接続される位置を示す情報である。位置情報314は、IPアドレス範囲312が示すIPアドレスの範囲毎に設定することができる。
図3に示す実施形態では、IPアドレス範囲の一例として「192.168.1.0/24」および「192.168.2.0/24」が登録されており、各IPアドレス範囲に対して位置情報「東京/ビル1/16F/東側」および「東京/ビル1/16F/西側」が関連付けて登録されている。すなわち、IPアドレスレンジ情報テーブル310は、IPアドレス範囲「192.168.1.0/24」内のIPアドレスが割り当てられた端末装置が「東京/ビル1/16F/東側」に存在することを示しており、IPアドレス範囲「192.168.2.0/24」内のIPアドレスが割り当てられた端末装置が「東京/ビル1/16F/西側」に存在することを示す。
正規アクセスポイント情報テーブル320は、監視サーバ110が備える正規アクセスポイント情報データベース216のデータテーブルである。正規アクセスポイント情報テーブル320には、端末装置名および端末装置識別情報322と、疑似アクセスポイント識別情報324とが関連付けて登録される。これらの情報は、監視システム100の管理者によって予め設定される。
端末装置名および端末装置識別情報322は、疑似アクセスポイントとなり得る端末装置の名称および識別情報である。端末装置名は、管理者が設定可能な任意の名称である。端末装置識別情報は、端末装置を固有に識別可能な情報である。本実施形態では、端末装置識別情報として、端末装置が使用するEthernet(登録商標)カードの固有のID番号であるMAC(Media Access Control)アドレスが使用される。
疑似アクセスポイント識別情報324は、監視システム100内の疑似アクセスポイントを識別する情報であり、端末装置120a,120b,120c,120dが疑似アクセスポイント化した場合に、疑似アクセスポイントとしての端末装置120a,120b,120c,120dを識別する情報である。本実施形態では、疑似アクセスポイント識別情報として、任意の英数字を設定可能なSSID(Service Set IDentifier)が使用される。
電波情報テーブル330は、端末装置120a,120b,120c,120dが有する電波情報データベース232のデータテーブルであり、端末装置識別情報332と、端末装置120a,120b,120c,120dが検知した電波から導出される電波強度334およびプロトコル情報336とが関連付けて登録される。
端末装置識別情報332は、正規のアクセスポイント114である無線通信機能付きのルータ装置や端末装置120a,120b,120c,120d、不正なアクセスポイント140が発信する電波から導出される端末装置の識別情報である。本実施形態では、これらのアクセスポイントのMACアドレスが端末装置識別情報332として使用される。
電波強度334は、アクセスポイントが発信する電波の強度であり、端末装置120a,120b,120c,120dが検知可能な最大の電波強度に対する実際の電波強度の程度を示す。本実施形態では、電波強度を百分率で表すが、他の実施形態では、その他の数値(例えば、0≦電波強度≦1等)を用いて電波強度を表すこともできる。
プロトコル情報336は、アクセスポイントが使用する通信プロトコルに関する情報である。プロトコル情報336には、アクセスポイントの識別情報と、アクセスポイントが使用する通信プロトコルの種別を示す情報とが含まれる。図3に示す実施形態では、アクセスポイントの識別情報としてSSIDが使用され、SSIDとして「IBM3」が設定されたアクセスポイントは、通信プロトコル「IEEE802.11g」のチャネル「1」を使用していることを示す。また、SSIDとして「BAD」が設定されたアクセスポイントは、通信プロトコル「IEEE802.11g」のチャネル「6」を使用していることを示す。
端末情報テーブル340は、監視サーバ110が備える端末装置情報データベース212のデータテーブルであり、監視サーバ110が、アドレスレンジ情報データベース214および正規アクセスポイントデータベース216を参照し、端末装置120a,120b,120c,120dから受信した電波情報を用いて導出した端末装置情報が登録される。端末情報テーブル340には、端末装置名および端末装置識別情報342と、位置情報344と、電波情報346と、電波情報測定時刻348とが関連付けて登録される。
端末装置名および端末装置識別情報342は、電波情報を送信した端末装置の名称および識別情報である。端末装置識別情報は、メタデータとして電波情報に付加される。端末装置名は、当該端末装置識別情報に対応する端末装置名であり、監視サーバ110が、正規アプリケーション情報データベース216を参照して特定する。
位置情報344は、端末装置名および端末装置識別情報342が示す端末装置のネットワーク130への接続位置を示す情報である。位置情報344は、監視サーバ110が、アドレスレンジ情報データベース214を参照し、電波情報のメタデータである端末装置のIPアドレスを用いて特定する。
電波情報346は、端末装置名および端末装置識別情報342が示す端末装置が送信した電波情報である。電波情報346には、電波情報を送信した端末装置毎に当該端末装置が電波を検知したアクセスポイントの端末装置識別情報、電波強度およびプロトコル情報が登録される。電波情報測定時刻348は、監視サーバ110が電波情報を受信した時刻である。
疑似アクセスポイント情報テーブル350は、監視サーバ110が備える疑似アクセスポイント情報データベース218のデータテーブルである。疑似アクセスポイント情報テーブル350には、疑似アクセスポイント化した端末装置の端末装置名および端末装置識別情報352と、当該端末装置の位置情報354とが関連付けて登録される。
図4は、図1に示す実施形態の端末装置が実行する処理の一実施形態を示すフローチャートである。以下、図4を参照して、端末装置120aが実行する処理について説明する。
図4の処理は、ステップS400から開始し、ステップS401では、端末装置120aのソフトウェアエージェント220の電波情報取得部222が、近傍のアクセスポイントから電波を検知したか否か判断する。電波を検知していない場合には(no)、ステップS401の処理を反復する。一方、電波を検知した場合には(yes)、処理をステップS402に分岐する。
ステップS402では、電波情報取得部222は、検知した電波に含まれる電波情報を電波情報データベース232に保存する。ステップS403では、電波情報送信部224が、電波情報データベース232に保存されている電波情報を監視サーバ110に送信する。
ステップS404では、ソフトウェアエージェント220は、待機時間が経過したか否か判断する。待機時間が経過していない場合には(no)、ステップS404の処理を反復する。一方、待機時間が経過した場合には(yes)、処理をステップS401に戻し、上述した処理を再び実行する。本実施形態では、待機時間として任意の時間を設定することができる。
図5は、図1に示す実施形態の監視サーバが実行する処理の一実施形態を示すフローチャートである。以下、図5を参照して、監視サーバ110が実行する処理について説明する。
図5の処理は、ステップS500で端末装置120a,120b,120c,120dから電波情報を受信することにより開始する。ステップS501では、アクセスポイント監視部200の端末情報登録部202が、アドレスレンジ情報データベース214および正規アクセスポイント情報データベース216を参照し、当該電波情報およびそのメタデータを用いて端末装置情報を導出し、端末装置情報データベース212に登録する。
ステップS502では、不正アクセスポイント検出部204が、端末装置情報データベース212および正規アクセスポイント情報データベース216を参照し、端末装置情報データベース212に登録された電波情報に不正なアクセスポイントの識別情報が含まれるか否か判断することにより、不正なアクセスポイントが存在するか否か判断する。不正なアクセスポイントが存在しない場合には(no)、処理をステップS505に分岐し、処理が終了する。一方、不正なアクセスポイントが存在する場合には(yes)、処理をステップS503に分岐する。
ステップS503では、疑似アクセスポイント決定部206が、疑似アクセスポイントとすべき端末装置を決定する。ステップS504では、電波発信指示部208が、ステップS503で決定した疑似アクセスポイントとすべき端末装置に電波発信指示を送信し、ステップS505で処理が終了する。
図6は、図5に示すステップS503に示す処理の一実施形態を示すフローチャートである。
図6に示す処理は、ステップS600から開始し、ステップS601で疑似アクセスポイント決定部206が、端末装置情報データベース212を参照し、端末装置情報を不正なアクセスポイントの電波強度の降順にソートする。ステップS602では、疑似アクセスポイント決定部206は、不正なアクセスポイントの電波強度が、所定の電波強度以上である端末装置を疑似アクセスポイントとすべき端末装置として決定し、ステップS603で処理が終了する。本実施形態では、不正なアクセスポイントの無線通信を妨害する好適な任意の電波強度を所定の電波強度とすることができる。
図7は、図5に示すステップS503に示す処理の別の実施形態を示すフローチャートである。
図7に示す処理は、ステップS700から開始し、ステップS701で疑似アクセスポイント決定部206が、端末装置情報データベース212を参照し、端末装置情報を不正なアクセスポイントの電波強度の降順にソートする。ステップS702では、疑似アクセスポイント決定部206は、不正なアクセスポイントの電波強度が最も高い端末装置を疑似アクセスポイントとすべき端末装置として決定し、ステップS703で処理が終了する。
図8は、図5に示すステップS503に示す処理の他の実施形態を示すフローチャートである。本実施形態では、監視サーバ110は、ネットワーク130内のトラフィックを監視するトラフィック監視部を備えており、端末装置120a,120b,120c,120dが送信するトラフィック量および当該端末装置の識別情報を含むトラフィック情報を取得する。
図8に示す処理は、ステップS800から開始し、ステップS801で疑似アクセスポイント決定部206が、端末装置情報データベース212を参照し、端末装置情報を不正なアクセスポイントの電波強度の降順にソートする。ステップS802では、トラフィック監視部が、ネットワーク130内のトラフィックを監視し、トラフィック情報を取得する。ステップS803では、疑似アクセスポイント決定部206は、不正なアクセスポイントの電波強度が所定の電波強度以上であり、かつトラフィックを発生させていない端末装置を疑似アクセスポイントとすべき端末装置として決定し、ステップS804で処理が終了する。本実施形態では、不正なアクセスポイントの無線通信を妨害する好適な任意の電波強度を所定の電波強度とすることができる。
本実施形態では、ネットワーク130へトラフィックを送信していない端末装置を優先的に疑似アクセスポイント化するため、有線接続されていない端末装置が無線LAN通信を実行している場合に、当該端末装置が疑似アクセスポイント化されることがなく、当該端末装置の無線通信を阻害することなく、不正なアクセスポイントの無線通信を阻害することができる。
これまで本実施形態につき説明してきたが、本発明は、上述した実施形態に限定されるものではなく、当該実施形態の機能手段の変更や削除、他の機能手段の追加など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。