パスワードを忘れた? アカウント作成
11526945 story
セキュリティ

空港の公衆無線LANサービスで第三者によって通信内容が簡単に閲覧できることが話題に 67

ストーリー by hylom
何周遅れだ 部門より
あるAnonymous Coward 曰く、

成田、関西、神戸の3空港が無料で提供する公衆無線LANサービスで、その通信内容を簡単に傍受できることが話題になっている。これら空港は利便性を考慮し、無線LANの暗号化を行っていないそうだ(47NEWS)。

なお、この記事では「メール丸見え」などとされているが、無線LANの暗号化だけでなく、SSL/TLS等を使ったポイントツーポイントでの暗号化が必要だろうというツッコミも入っている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 告知次第 (スコア:5, 興味深い)

    by Anonymous Coward on 2014年08月27日 19時02分 (#2665004)

    公衆なんだし無料なんだし
    セキュリティに目くじら立てんでもとは思います
    暗号化されてたところで
    利用APが信頼に足るという保証はないですしねぇ

    いっそでかでかと暗号化していない旨張り出して
    大画面で現在こんな話題が飛び交ってますと
    運行情報を公開してみたら面白そう

    # ANAだらけでJALなセキュリティならいっそぶっ飛んだほうが乙

    • by Anonymous Coward on 2014年08月27日 21時15分 (#2665099)

      ちゃんとやろうとしたら、アクセスポイントに悪戯されないよう、鍵のかかったエリアに置く必要がありますしね。
      もしくは、アクセスポイントから鍵がかかったエリアまでVPNなりにするか。

      使いたい人は頑張って下さい、で十分だと思う。

      むしろ、端末側で、「平文通信です。危険です。[接続しない/VPN・TLS通信のみを許可する/全て許可する]」という
      選択ができるような仕組みを持たせるとかして欲しいな。

      親コメント
    • by bero (5057) on 2014年08月29日 9時23分 (#2665996) 日記

      この手の無料サービスは、

      本サービスは皆様に簡単にご利用いただけるよう、無線LAN端末への事前設定が必要となるWEP等のセキュリティは使用しておりません。セキュリティを必要とする通信をされる場合には、VPN(バーチャルプライベートネットワーク)や有料公衆無線LANサービスをご利用になることをお薦めいたします。

      みたいなのに同意しないとインターネットに出れないので、接続する人に対しては十分告知してると思います

      成田空港の例 [wifipt.net]
      JR東日本の例 [yahoo.co.jp]

      親コメント
    • by Anonymous Coward

      いわゆるノーガード戦法の類ですかね。

  • 公衆無線LAN (スコア:5, すばらしい洞察)

    by hahahash (41409) on 2014年08月27日 19時41分 (#2665033) 日記

    そもそも公衆無線LANなんて、その先がどうなってるかわかりゃしないわけで、
    回線そのものが信頼できないんだから、
    無線LANが暗号化されてるかどうか、なんてものは無関係に、
    重要なデータのセキュリティは自分で担保するのが当然じゃね?

    簡単に傍受できてしまうのは確かに問題かもしれないが、
    注意するべきはそこじゃないだろ? とか思う。

  • Gmailだったら少なくともGoogleのサーバーまではhttpsで転送されるし。

    しかし、こうやって公になる前から知ってて、ひたすら傍受してた奴とか居そうでやだな…。
    空港だけに割りと機密性の高い情報もメールでやり取りしてそうだし。

    • by Anonymous Coward on 2014年08月27日 19時40分 (#2665031)

      HTTPSでない部分があるウェブメールサービスの危険性を指摘したかったようです。

      「空港の無線LANでメール丸見え」記事が波紋、実験した神戸大教授がブログで説明
      http://www.itmedia.co.jp/news/articles/1408/27/news057.html [itmedia.co.jp]

      親コメント
      • なるほど、元々の意図はメールシステム自体は暗号化されてないから、空港にあるような
        暗号化されてない公衆無線LANだと簡単に傍受されるよ、と言いたかったんだな。

        でも、だったら元記事にもhttps使ったWebメールを使えばいいと書かれてれば良かったのかも。

        親コメント
      • by Anonymous Coward on 2014年08月27日 20時37分 (#2665071)

        httpsを使っていないメールをインターネット上の経路で使用すれば危険なのは当たり前だろ。
        無線LANとか関係ない。インターネット上のどこで盗聴されているかわからない。
        こんな実験は、「公衆無線LANの問題なんだ」と素人をミスリードするだけ。

        親コメント
        • by Anonymous Coward

          「公衆無線の問題」とミスリードって言うけどさ、盗聴したい人とデータそのものがある空港での盗聴とどこに盗聴したい人のデータがあるか分からないインターネット上で盗聴の危険性はまるで違うんじゃないの

          • by Anonymous Coward on 2014年08月27日 21時53分 (#2665118)

            利用者から見て危険性は同じ。犯罪者がカジュアルにできるかどうかの違い。

            親コメント
            • by Anonymous Coward

              犯罪者がカジュアルにできる環境と、そうでない環境で、危険に遭遇する確率が同じとおっしゃると?

              • by Anonymous Coward

                利用者からみたら、確率の多少の減少なんて関係ないだろ。他に確率をほぼ0にできる対策がある場合は。

        • by Anonymous Coward

          それ言い出したら、もはやhttpsすら関係ないだろ。どうせサーバー間通信が暗号化されてないだろうから。

          #というか「安全なメール」とかいうものが幻想

    • by Anonymous Coward

      実は米国の要請でスパイ対策でやってることだったりして

    • by Anonymous Coward

      ヤホーメールはたまに丸見えになってるしね

  • この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。

    ただし、ユーザー側での設定が多少面倒なのが難点です。具体的にユーザー側でどんな操作をする必要があるのかは、Windows 8/8.1 の docomo Wi-Fi (月額300円プラン) の設定方法 [nttdocomo.co.jp]を見ていただけると解りやすいと思います。

    # 何故、[ネットワークがブロードキャストを行っていない場合でも接続する にチェックを入れさせているのかは分かりませんが……。
    # 公衆Wi-Fiのアクセスポイントが、SSIDステルスだということはないですよね。
    # この設定は、プライバシー上の重大なリスクがあります [takagi-hiromitsu.jp]。

    docomo 以外にも、au Wi-Fi SPOT も WPA2-EAP に対応している模様です。

    au Wi-Fi SPOT [kddi.com]

    ご利用可能なWi-Fiネットワーク (SSID)
    「au_Wi-Fi2」(WPA2エンタープライズ)

    ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、もっと WPA2-EAP が普及して欲しいですね。大半のサービスが対応していない現状が残念でなりません。

    WPA2-EAP は、認証無しのアクセスポイントのような設定無しで簡単に接続できる気軽さはありませんが、VPN を使うのに比べればかなり楽だと思います。

    なお、VPN を使うというユーザー側での対策については、L2TP/IPsec などの VPN が使用できない (特定のポートでの通信しかできなくしている?) 公衆Wi-Fiも多いのが現状です。そういった場合、HTTPS に偽装する機能を持つVPNを使用する必要があります。

    • by Anonymous Coward

      >この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
      何が解決するのでしょうか。

      A. 当事者
      B. APへの正当なアクセス権を持つ他者 (=公衆無線LANのユーザー)
      C. APへのアクセス権を持たない他者

      AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。
      Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。
      WindowsやMacで、無線LANアダプタのpromiscuousモードが、デバイスドライバレベルで禁止されているのはそのためです。

      • AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。 Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。

         確かに、Wireshark [osdn.jp]などを使い、promiscuous mode でパケットキャプチャーをすれば、流れてくる IEEE802.11 のデータフレームを入手できます。しかし、パケットヘッダーなどを除いたメインの部分は、WPA2-EAP ですから当然暗号化されています。

         もし、一般家庭で用いられている WPK2-PSK であれば、実際に暗号化に使われるテンポラリキーは、マスターキー(一般に無線LANルーターとパソコンに設定するAESキー)、MACアドレス、乱数の3つから生成されます。「APへの正当なアクセス権を持つ他者」であれば、マスターキーは知っています。MACアドレスと乱数は、4Way-Handshakeで平文でやり取りされますから、最初の接続や鍵更新のタイミングの通信を傍受できれば、3つの要素が全て揃いますので、テンポラリキーを生成して通信を復号することができるでしょう。

         しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。

        親コメント
        • by Printable is bad. (38668) on 2014年08月27日 22時55分 (#2665149)

           しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。

          上記の部分に補足します。

          「APへの正当なアクセス権を持つ他者」が、通信内容を復号することができない理由については、ネットワーク入門サイト - 企業向け無線LAN [beginners-network.com] をご覧下さい。大変分かりやすく解説されています。

          一言で説明しますと、SSL とほぼ同じ理由です。公開鍵暗号方式と、認証局が署名したデジタル証明書が使われています。

          親コメント
    • by Anonymous Coward

      このドコモの設定方法では「次のサーバーに接続する」を設定していないので、
      同じCAの発行した任意の有効な証明書があれば盗聴するネットワークを背後に持つ偽APが本物に成りすませるのでは。

      MS-CHAP V2は相互認証だった気もしますが、本物に中継すればかわせるでしょう。

      • このドコモの設定方法では「次のサーバーに接続する」を設定していないので、 同じCAの発行した任意の有効な証明書があれば盗聴するネットワークを背後に持つ偽APが本物に成りすませるのでは。

        ご指摘ありがとうございます。確かにその通りですね。

        ちょっとググってみたところ、他にも問題のある設定を指示しているところがあったので、「不適切な設定」 と 「適切な設定」 を指示する機関を、それぞれ挙げてみます。

        --

        【早稲田大学】 … 不適切
        学内無線LAN利用ガイド(Windows 8) [waseda.jp]

        「証明書を検証してサーバーのIDを検証する」
        チェックを入れる。(「次のサーバーに接続する」はチェックしない)

        信頼されたルート証明機関
        設定不要

        接続先のサーバーを限定していないので、不適切ですね。
        「信頼されたルート証明機関」で、特定のルート証明機関にチェックを入れない場合は、Windows に最初から入っている証明機関が全て有効になる仕様です。(オレオレ証明機関は弾かれます)
        従って、きちんとした証明書を持っている人ならば、成りすましRADIUSサーバ・成りすましアクセスポイントを構築し、そこへ接続させることが可能です。

        --

        【京都産業大学】 … 不適切
        インターネットスポット接続手順【Windows8】 | コンピュータ環境の使い方 | 京都産業大学 [kyoto-su.ac.jp]

        ①「証明書を検証してサーバーのIDを検証する」にチェックを入れ、
        ②「次のサーバーに接続する」のチェックが外れていることを確認します。
        また、「信頼されたルート証明機関」の中から、①「Security Communication RootCA1」を選択し、「接続前の通知」を②「新しいサーバーまたは信頼されたCAを承認するときにユーザーに確認を求めません」を選択します。

        ルート証明機関が限定されていることから早稲田大学よりは安全な気がしますが、「Security Communication RootCA1」の証明書を持っている人ならば、成りすましRADIUSサーバ・成りすましアクセスポイントを構築し、そこへ接続させることが可能です。
        「新しいサーバーまたは信頼されたCAを承認するときにユーザーに確認を求めません」という設定の挙動は良く分かりませんが、「Security Communication RootCA1」以外の認証局の証明書も自動承認される?

        --

        【セコムデータセンター オープンスペースWi-Fi】 … 適切
        セキュアデータセンター インターネットご利用ガイド [secure-dc.jp]

        次のサーバーに接続する
        チェックを居れ、以下を入力する
        wireless.secomtrust.net
        信頼されたルート証明期間 (原文ママ)
        Security Communication RootCA1

        セコムのデータセンター契約者向けの、新館2FオープンスペースにおけるWi-Fiの設定方法です。
        流石セコムさんだけあって、接続先のサーバを限定した上、ルート証明機関も自社の認証局(自身が認証局なのでオレオレ証明書ではない)に限定しています。

        --

        【北海道大学】 … 適切
        北海道大学 無線LAN概要 [hokudai.ac.jp]

        「サーバーの証明書を検証する」: ON
        (この項目をOFFにしても無線LANに接続できます)
        「次のサーバーに接続する」: ON
        wireless.hines.hokudai.ac.jp
        (ELMS-IDを利用する場合は「ucert.ec.hokudai.ac.jp」)
        「信頼されたルート証明機関」: Security Communitation RootCA1

        わざわざ「この項目をOFFにしても無線LANに接続できます」と危険な設定でも接続は可能できることを書く必要は無い気がしますが、「ON」に設定するように指示しているため問題無いでしょう。適切な設定指示です。

        親コメント
        • by Anonymous Coward on 2014年08月28日 0時52分 (#2665198)

          接続マニュアルを、このレベルで指摘するのであれば、まずは、、、

          vista以降のWindowsが「最初から持っているルート証明書」はごく一部であり、
          必要なルート証明書はWindowsUpdateでを取得する必要があります。
          従って、そのマシンの最初のルート証明書の取得には、無線LAN接続が使えない事になるので
          (∵最初の接続の時点では、なりすましAPの検出に必要なルート証明書が存在しないから)
          必要なルート証明書を、有線LAN接続経由でwindowsupdate又は手動で取得するか、
          他の経路(USBメモリ等)で入手し、ルート証明書としてインポートした上で、

          、、、「適切な設定」で接続させなければならないと思いますが。

          所で、他のOSではなりすましAPに接続しないようになってるんだろうか?
          使ってないから判らないけど、MacOSとかどうなんだろ。

          親コメント
        • by Anonymous Coward on 2014年08月28日 0時18分 (#2665178)

          うちの大学は適切だったわ。
          サーバー証明書のインポート手順から説明されてて何でこんな面倒な、、、と正直思ってたけど
          しかも、検証出来ないときに出るアラートが出た場合は、
          「下記のような警告が出た場合は、絶対に「接続」ボタンはクリックしないで下さい。」
          の注意書きが

          親コメント
    • by Anonymous Coward

      素直にSSL/TSLを使って下さい。安全&確実です。

    • by Anonymous Coward

      公衆無線LANは使ったことがないのですが、VPN(L2TP/IPsec)を使ってます。

      今後、公衆無線LANからL2TP/IPsec接続して使う予定ですが、
      L2TP/IPsecを制限している公衆無線LANの代表例を教えていただけないでしょうか?

  • パブリックスペースでの音声通話が他人に聞かれるように、
    公衆無線LANてもともとだだ漏れるものだと思っていました。

  • by Anonymous Coward on 2014年08月27日 18時49分 (#2664997)

    以前よりあんまり心配しなくても良くなったような気も.

  • by Anonymous Coward on 2014年08月27日 18時52分 (#2665000)

    かつての0033なんかはPSK使ってましたが、あれも本物と同じSSID/PSKのAP作れば抜き放題なので、
    PSKを知っている者同士が互いに信頼しあえない状況では無意味です。
    (認証されていないと認証ページにリダイレクトされる系のアレは、認証済みと偽APが区別できない)

    1XでPEAPとか使えば安全でしょうけど、あれも証明書のCommon NameでなくCAのチェックだけで済ませているような場合だと…

    • by phenix (31258) on 2014年08月27日 20時05分 (#2665048)

      これ。よくみんな平気でつなげるなと思う。
      今更インフラ置き換えるのも無理でしょうから、せめてインターネットに出るとこまでVPN用意して欲しい。

      親コメント
      • by kouno (5101) on 2014年08月27日 22時25分 (#2665129)

        まぁ、そんなものだろうと思って繋げていましたが。
        なんでインターネットに出たとならいいんですか?
        危険性は似たようなものだと思うけど。

        読まれたくない情報なら端末を出る瞬間から暗号化しとかないと。

        親コメント
        • by phenix (31258) on 2014年08月27日 23時45分 (#2665169)

          インターネットに出てしまえば、自分とこと相手のとことその上位のプロバイダという、ある程度素性の知れた範囲を信頼出来れば基本的にはいいわけですが、
          PSKなWi-Fiに繋ぐということは、そのキーを知っている人を信頼することになるわけで、そのプロバイダの加入者全員。。。どころか、Web上で良かれと思って公開している輩もいたりするわけで、
          保証されていない点で同じだとしても、全くレベルが違う訳ですよ。

          ATMの脇にゴミ箱ついていたりしますが、あれも何か保証されているわけじゃなく、銀行とその取引業者への信頼で明細を捨てるわけで、近所の分別フリークのおばさんを信頼して家のゴミ箱に捨てるのとはやはりレベルが違う訳です。
          本当はシュレッダーにかけるのがいいですが、そうでなければ大差ないと言ってしまうのも乱暴すぎるかと。

          親コメント
          • by kouno (5101) on 2014年08月28日 18時33分 (#2665680)

            誰がリレーしてるのか、わかんないバケツリレーの途中の信頼性なんて分別フリークレベルかと思いましたが、
            この差を乱暴という感性は、まぁわからなくもないです。

            親コメント
    • by Anonymous Coward

      なるほど、SSIDを"0000docomo"とか、"00000JAPAN"に設定したルータ置いておけばいいのか・・・

      ※ダメです。

      • by Anonymous Coward
        これを禁止する根拠となる法律は存在するのでしょうか?
        • by Y-taro (38255) on 2014年08月28日 7時45分 (#2665273)

          刑法・偽計業務妨害罪になるように思います。
          偽計を用いて、本来事業者が提供している通信サービスの安全性を害したと。
          食品への異物混入事件と似たようなものですかね。

          親コメント
  • by Anonymous Coward on 2014年08月27日 18時29分 (#2664992)

    HANEDA-FREE-WIFI も 暗号化なしですね。

    • Re:羽田も (スコア:3, 参考になる)

      by headless (41064) on 2014年08月27日 19時13分 (#2665012)
      ずっと前から成田も羽田も利用開始時に「警告 セキュリティレベルについて」として、

      本サービスは皆様に簡単にご利用いただけるよう、無線LAN端末への事前設定が必要となるWEP等のセキュリティは使用しておりません。セキュリティを必要とする通信をされる場合には、VPN(バーチャルプライベートネットワーク)や有料公衆無線LANサービスをご利用になることをお勧めいたします。

      と表示されますね。

      親コメント
  • by Anonymous Coward on 2014年08月27日 18時40分 (#2664994)

    そもそも、無線LANの設定をモニターモードに切り替えれば暗号化されていない、チャンネルの通信は完全に引っ張れちゃいますよね。

    Promiscuousモードでも可能ですがモニターモードの場合はそもそも接続さえ必要しないので探知も難しい。

  • by Anonymous Coward on 2014年08月27日 19時03分 (#2665007)

    ×ポイントツーポイント
    ○エンドツーエンド

    • by Anonymous Coward

      Peer to peerじゃなくて?

      まあ、ともあれ、情報工学の大学院の教授がわざわざ調べることではないな。現地に行かなくったって、考えればわかることだろう。

  • by Anonymous Coward on 2014年08月27日 21時01分 (#2665081)

    「秘匿性のない電話」というのがありました。要するに部屋中に鳴り響く電話。
    当時なかったけど、エロ話をしたら軽犯罪法違反で逮捕だったのだろうか(笑)

    ちなみにその電話に対して、ダイヤラーよろしくピポパと入力してバイオリズムサービスを使った人がAsciiのコラムネタにされていましたが、彼はそのAsciiでバイトしていたらしい。
    ※俺もAsciiでバイトしていたけど、知らんかった。

  • by Anonymous Coward on 2014年08月28日 1時31分 (#2665218)

    LTEがかなり速いので、いまさら公衆無線LANに接続するリスクを取る必要はないな、と最近は思う。
    外国からの旅行者にとってはローミングは高く付くから大切かもしれないけど、国内の4G以降のユーザーはもう必要性ないんじゃないかな。
    パソコンなどもテザリングで使えるし。大量に通信する場合は別として。

    まぁ、無料でもっと安全に使えるならいいけど、現状だと「なくてもいいんじゃない?」と思う。
    セキュリティの問題をわかって使うなら良いけど、世の中のほとんどの人は知らないわけで。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...