パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

空港の公衆無線LANサービスで第三者によって通信内容が簡単に閲覧できることが話題に」記事へのコメント

  • この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。

    ただし、ユーザー側での設定が多少面倒なのが難点です。具体的にユーザー側でどんな操作をする必要があるのかは、Windows 8/8.1 の docomo Wi-Fi (月額300円プラン) の設定方法 [nttdocomo.co.jp]を見ていただけると解りやすいと思います。

    # 何故、[ネットワークがブロードキャストを行っていない場合でも接続する にチェックを入れさせているのかは分かりませんが……。
    # 公衆Wi-Fiのアクセスポイントが、SSIDステルスだということはないですよね。
    # この設定は、プライバシー上の重大なリスクがあります [takagi-hiromitsu.jp]。

    docomo 以外にも、au Wi-Fi SPOT も WPA2-EAP に対応している模様です。

    • このドコモの設定方法では「次のサーバーに接続する」を設定していないので、
      同じCAの発行した任意の有効な証明書があれば盗聴するネットワークを背後に持つ偽APが本物に成りすませるのでは。

      MS-CHAP V2は相互認証だった気もしますが、本物に中継すればかわせるでしょう。

      親コメント
      • このドコモの設定方法では「次のサーバーに接続する」を設定していないので、 同じCAの発行した任意の有効な証明書があれば盗聴するネットワークを背後に持つ偽APが本物に成りすませるのでは。

        ご指摘ありがとうございます。確かにその通りですね。

        ちょっとググってみたところ、他にも問題のある設定を指示しているところがあったので、「不適切な設定」 と 「適切な設定」 を指示する機関を、それぞれ挙げてみます。

        --

        【早稲田大学】 … 不適切
        学内無線LAN利用ガイド(Windows 8) [waseda.jp]

        「証明書を検証してサーバーのIDを検証する」
        チェックを入れる。(「次のサーバーに接続する」はチェックしない)

        信頼されたルート証明機関
        設定不要

        接続先のサーバーを限定していないので、不適切ですね。
        「信頼されたルート証明機関」で、特定のルート証明機関にチェックを入れない場合は、Windows に最初から入っている証明機関が全て有効になる仕様です。(オレオレ証明機関は弾かれます)
        従って、きちんとした証明書を持っている人ならば、成りすましRADIUSサーバ・成りすましアクセスポイントを構築し、そこへ接続させることが可能です。

        --

        【京都産業大学】 … 不適切
        インターネットスポット接続手順【Windows8】 | コンピュータ環境の使い方 | 京都産業大学 [kyoto-su.ac.jp]

        ①「証明書を検証してサーバーのIDを検証する」にチェックを入れ、
        ②「次のサーバーに接続する」のチェックが外れていることを確認します。
        また、「信頼されたルート証明機関」の中から、①「Security Communication RootCA1」を選択し、「接続前の通知」を②「新しいサーバーまたは信頼されたCAを承認するときにユーザーに確認を求めません」を選択します。

        ルート証明機関が限定されていることから早稲田大学よりは安全な気がしますが、「Security Communication RootCA1」の証明書を持っている人ならば、成りすましRADIUSサーバ・成りすましアクセスポイントを構築し、そこへ接続させることが可能です。
        「新しいサーバーまたは信頼されたCAを承認するときにユーザーに確認を求めません」という設定の挙動は良く分かりませんが、「Security Communication RootCA1」以外の認証局の証明書も自動承認される?

        --

        【セコムデータセンター オープンスペースWi-Fi】 … 適切
        セキュアデータセンター インターネットご利用ガイド [secure-dc.jp]

        次のサーバーに接続する
        チェックを居れ、以下を入力する
        wireless.secomtrust.net
        信頼されたルート証明期間 (原文ママ)
        Security Communication RootCA1

        セコムのデータセンター契約者向けの、新館2FオープンスペースにおけるWi-Fiの設定方法です。
        流石セコムさんだけあって、接続先のサーバを限定した上、ルート証明機関も自社の認証局(自身が認証局なのでオレオレ証明書ではない)に限定しています。

        --

        【北海道大学】 … 適切
        北海道大学 無線LAN概要 [hokudai.ac.jp]

        「サーバーの証明書を検証する」: ON
        (この項目をOFFにしても無線LANに接続できます)
        「次のサーバーに接続する」: ON
        wireless.hines.hokudai.ac.jp
        (ELMS-IDを利用する場合は「ucert.ec.hokudai.ac.jp」)
        「信頼されたルート証明機関」: Security Communitation RootCA1

        わざわざ「この項目をOFFにしても無線LANに接続できます」と危険な設定でも接続は可能できることを書く必要は無い気がしますが、「ON」に設定するように指示しているため問題無いでしょう。適切な設定指示です。

        親コメント
        • by Anonymous Coward on 2014年08月28日 0時52分 (#2665198)

          接続マニュアルを、このレベルで指摘するのであれば、まずは、、、

          vista以降のWindowsが「最初から持っているルート証明書」はごく一部であり、
          必要なルート証明書はWindowsUpdateでを取得する必要があります。
          従って、そのマシンの最初のルート証明書の取得には、無線LAN接続が使えない事になるので
          (∵最初の接続の時点では、なりすましAPの検出に必要なルート証明書が存在しないから)
          必要なルート証明書を、有線LAN接続経由でwindowsupdate又は手動で取得するか、
          他の経路(USBメモリ等)で入手し、ルート証明書としてインポートした上で、

          、、、「適切な設定」で接続させなければならないと思いますが。

          所で、他のOSではなりすましAPに接続しないようになってるんだろうか?
          使ってないから判らないけど、MacOSとかどうなんだろ。

          親コメント
        • by Anonymous Coward on 2014年08月28日 0時18分 (#2665178)

          うちの大学は適切だったわ。
          サーバー証明書のインポート手順から説明されてて何でこんな面倒な、、、と正直思ってたけど
          しかも、検証出来ないときに出るアラートが出た場合は、
          「下記のような警告が出た場合は、絶対に「接続」ボタンはクリックしないで下さい。」
          の注意書きが

          親コメント

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...