パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

空港の公衆無線LANサービスで第三者によって通信内容が簡単に閲覧できることが話題に」記事へのコメント

  • この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。

    ただし、ユーザー側での設定が多少面倒なのが難点です。具体的にユーザー側でどんな操作をする必要があるのかは、Windows 8/8.1 の docomo Wi-Fi (月額300円プラン) の設定方法 [nttdocomo.co.jp]を見ていただけると解りやすいと思います。

    # 何故、[ネットワークがブロードキャストを行っていない場合でも接続する にチェックを入れさせているのかは分かりませんが……。
    # 公衆Wi-Fiのアクセスポイントが、SSIDステルスだということはないですよね。
    # この設定は、プライバシー上の重大なリスクがあります [takagi-hiromitsu.jp]。

    docomo 以外にも、au Wi-Fi SPOT も WPA2-EAP に対応している模様です。

    au Wi-Fi SPOT [kddi.com]

    ご利用可能なWi-Fiネットワーク (SSID)
    「au_Wi-Fi2」(WPA2エンタープライズ)

    ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、もっと WPA2-EAP が普及して欲しいですね。大半のサービスが対応していない現状が残念でなりません。

    WPA2-EAP は、認証無しのアクセスポイントのような設定無しで簡単に接続できる気軽さはありませんが、VPN を使うのに比べればかなり楽だと思います。

    なお、VPN を使うというユーザー側での対策については、L2TP/IPsec などの VPN が使用できない (特定のポートでの通信しかできなくしている?) 公衆Wi-Fiも多いのが現状です。そういった場合、HTTPS に偽装する機能を持つVPNを使用する必要があります。

    • by Anonymous Coward

      >この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
      何が解決するのでしょうか。

      A. 当事者
      B. APへの正当なアクセス権を持つ他者 (=公衆無線LANのユーザー)
      C. APへのアクセス権を持たない他者

      AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。
      Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。
      WindowsやMacで、無線LANアダプタのpromiscuousモードが、デバイスドライバレベルで禁止されているのはそのためです。

      • AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。 Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。

         確かに、Wireshark [osdn.jp]などを使い、promiscuous mode でパケットキャプチャーをすれば、流れてくる IEEE802.11 のデータフレームを入手できます。しかし、パケットヘッダーなどを除いたメインの部分は、WPA2-EAP ですから当然暗号化されています。

         もし、一般家庭で用いられている WPK2-PSK であれば、実際に暗号化に使われるテンポラリキーは、マスターキー(一般に無線LANルーターとパソコンに設定するAESキー)、MACアドレス、乱数の3つから生成されます。「APへの正当なアクセス権を持つ他者」であれば、マスターキーは知っています。MACアドレスと乱数は、4Way-Handshakeで平文でやり取りされますから、最初の接続や鍵更新のタイミングの通信を傍受できれば、3つの要素が全て揃いますので、テンポラリキーを生成して通信を復号することができるでしょう。

         しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。

        親コメント
        • by Printable is bad. (38668) on 2014年08月27日 22時55分 (#2665149)

           しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。

          上記の部分に補足します。

          「APへの正当なアクセス権を持つ他者」が、通信内容を復号することができない理由については、ネットワーク入門サイト - 企業向け無線LAN [beginners-network.com] をご覧下さい。大変分かりやすく解説されています。

          一言で説明しますと、SSL とほぼ同じ理由です。公開鍵暗号方式と、認証局が署名したデジタル証明書が使われています。

          親コメント
          • by Anonymous Coward

            認証局は、SSLとかで使われているものを使うの?

    • by Anonymous Coward

      このドコモの設定方法では「次のサーバーに接続する」を設定していないので、
      同じCAの発行した任意の有効な証明書があれば盗聴するネットワークを背後に持つ偽APが本物に成りすませるのでは。

      MS-CHAP V2は相互認証だった気もしますが、本物に中継すればかわせるでしょう。

      • このドコモの設定方法では「次のサーバーに接続する」を設定していないので、 同じCAの発行した任意の有効な証明書があれば盗聴するネットワークを背後に持つ偽APが本物に成りすませるのでは。

        ご指摘ありがとうございます。確かにその通りですね。

        ちょっとググってみたところ、他にも問題のある設定を指示しているところがあったので、「不適切な設定」 と 「適切な設定」 を指示する機関を、それぞれ挙げてみます。

        --

        【早稲田大学】 … 不適切
        学内無線LAN利用ガイド(Windows 8) [waseda.jp]

        「証明書を検証してサーバーのIDを検証する」
        チェックを入れる。(「次のサーバーに接続する」はチェックしない)

        信頼されたルート証明機関
        設定不要

        接続先のサーバーを限定していないので、不適切ですね。
        「信頼されたルート証明機関」で、特定のルート証明機関にチェックを入れない場合は、Windows に最初から入っている証明機関が全て有効になる仕様です。(オレオレ証明機関は弾かれます)
        従って、きちんとした証明書を持っている人ならば、成りすましRADIUSサーバ・成りすましアクセスポイントを構築し、そこへ接続させることが可能です。

        --

        【京都産業大学】 … 不適切
        インターネットスポット接続手順【Windows8】 | コンピュータ環境の使い方 | 京都産業大学 [kyoto-su.ac.jp]

        ①「証明書を検証してサーバーのIDを検証する」にチェックを入れ、
        ②「次のサーバーに接続する」のチェックが外れていることを確認します。
        また、「信頼されたルート証明機関」の中から、①「Security Communication RootCA1」を選択し、「接続前の通知」を②「新しいサーバーまたは信頼されたCAを承認するときにユーザーに確認を求めません」を選択します。

        ルート証明機関が限定されていることから早稲田大学よりは安全な気がしますが、「Security Communication RootCA1」の証明書を持っている人ならば、成りすましRADIUSサーバ・成りすましアクセスポイントを構築し、そこへ接続させることが可能です。
        「新しいサーバーまたは信頼されたCAを承認するときにユーザーに確認を求めません」という設定の挙動は良く分かりませんが、「Security Communication RootCA1」以外の認証局の証明書も自動承認される?

        --

        【セコムデータセンター オープンスペースWi-Fi】 … 適切
        セキュアデータセンター インターネットご利用ガイド [secure-dc.jp]

        次のサーバーに接続する
        チェックを居れ、以下を入力する
        wireless.secomtrust.net
        信頼されたルート証明期間 (原文ママ)
        Security Communication RootCA1

        セコムのデータセンター契約者向けの、新館2FオープンスペースにおけるWi-Fiの設定方法です。
        流石セコムさんだけあって、接続先のサーバを限定した上、ルート証明機関も自社の認証局(自身が認証局なのでオレオレ証明書ではない)に限定しています。

        --

        【北海道大学】 … 適切
        北海道大学 無線LAN概要 [hokudai.ac.jp]

        「サーバーの証明書を検証する」: ON
        (この項目をOFFにしても無線LANに接続できます)
        「次のサーバーに接続する」: ON
        wireless.hines.hokudai.ac.jp
        (ELMS-IDを利用する場合は「ucert.ec.hokudai.ac.jp」)
        「信頼されたルート証明機関」: Security Communitation RootCA1

        わざわざ「この項目をOFFにしても無線LANに接続できます」と危険な設定でも接続は可能できることを書く必要は無い気がしますが、「ON」に設定するように指示しているため問題無いでしょう。適切な設定指示です。

        親コメント
        • by Anonymous Coward on 2014年08月28日 0時52分 (#2665198)

          接続マニュアルを、このレベルで指摘するのであれば、まずは、、、

          vista以降のWindowsが「最初から持っているルート証明書」はごく一部であり、
          必要なルート証明書はWindowsUpdateでを取得する必要があります。
          従って、そのマシンの最初のルート証明書の取得には、無線LAN接続が使えない事になるので
          (∵最初の接続の時点では、なりすましAPの検出に必要なルート証明書が存在しないから)
          必要なルート証明書を、有線LAN接続経由でwindowsupdate又は手動で取得するか、
          他の経路(USBメモリ等)で入手し、ルート証明書としてインポートした上で、

          、、、「適切な設定」で接続させなければならないと思いますが。

          所で、他のOSではなりすましAPに接続しないようになってるんだろうか?
          使ってないから判らないけど、MacOSとかどうなんだろ。

          親コメント
        • by Anonymous Coward on 2014年08月28日 0時18分 (#2665178)

          うちの大学は適切だったわ。
          サーバー証明書のインポート手順から説明されてて何でこんな面倒な、、、と正直思ってたけど
          しかも、検証出来ないときに出るアラートが出た場合は、
          「下記のような警告が出た場合は、絶対に「接続」ボタンはクリックしないで下さい。」
          の注意書きが

          親コメント
    • by Anonymous Coward

      素直にSSL/TSLを使って下さい。安全&確実です。

    • by Anonymous Coward

      公衆無線LANは使ったことがないのですが、VPN(L2TP/IPsec)を使ってます。

      今後、公衆無線LANからL2TP/IPsec接続して使う予定ですが、
      L2TP/IPsecを制限している公衆無線LANの代表例を教えていただけないでしょうか?

      • by Anonymous Coward
        便乗的な質問なのですが、今時の無線LANのAPって、初期状態でVPNを許可するものなのでしょうか?
        以前使用していた家庭用APでは設定をする必要がありました。
    • by Anonymous Coward

      フリーWi-Fiでどうやってコストをかけずに運用するのか、考えてから言えよ…

    • by Anonymous Coward

      > ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、

      はい、で、空港で利用する人は接続アプリを入れるのが面倒。
      入れても空港を使うときくらいしか使わない。
      そーゆーわけで、採用は却下でしょうね。

      もう、SSL使うでいいんじゃないでしょうか。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...