「セキュリティ対策をしていない」自宅の無線LAN、4割以上にのぼる 160
ストーリー by hylom
共有フォルダ丸見えとかもう… 部門より
共有フォルダ丸見えとかもう… 部門より
Anonymous Coward曰く、
情報処理推進機構(IPA)が9月29日、66%もの無線LANアクセスポイント(AP)がただ乗りできる可能性があるという調査結果を発表した(2008年度第1回 情報セキュリティに関する脅威に対する意識調査、報告書[PDF])。
自宅での無線LAN利用者(1515人)の内、無線LANのセキュリティ対策の有無についての問いでは
- WPA2(Wi-Fi Protected Access 2)などによる通信の暗号化 : 38.2%
- MACアドレスによる接続制限(フィルタリング): 22.7%
- 無線LANクライアント側でSSIDを「ANY」あるいは空欄に設定しない : 22.4%
- その他 : 2.8%
- 上記の対策を実施していない: 44.8%
このうち「SSIDを"ANY"~」というのは他人のアクセスポイント(AP)に繋がないための処置であるが、アクセスポイント自体の防御ではない。 つまり無防備なアクセスポイントは67%もあると言うことだ(ただし、この44%の内 AOSSなどにより 対策を講じているにもかかわらず利用者が認識していないケースが含まれる可能性があるようだ)。
(つづく...)
./Jでも、マンションやアパートなどの集合住宅で無線LANのただ乗りの話やプリングルス管で指向性を持たせるなどの話題がちらほらと目につくがまさか半数ものアクセスポイントが利用可能だとは考えもしなかった。
./Jの諸君は無線ネットワークのセキュリティに対してどのような対策をとっているのだろうか? また、対策を行わない理由はあるのだろうか?
(ちなみに、タレコミ子は「WEPとMACアドレスフィルター」さえあれば十分だとは思っているが、利便性(友達に貸すなど)の問題によりWEPしか行っていない。)
自宅はセキュリティ対策してません (スコア:5, おもしろおかしい)
罠 (スコア:4, おもしろおかしい)
ハニーネットじゃないの?
旅に出ます.(バグを)探さないで下さい.
前々から言われてますが (スコア:3, 参考になる)
> 無線LANクライアント側でSSIDを「ANY」あるいは空欄に設定しない : 22.4%
この二つは「セキュリティ対策」のうちに入れちゃ駄目でしょ…WEPだって104bitが一分で破れる [srad.jp]と言われてますし、とても十分とは言い難いですね。
Re:前々から言われてますが (スコア:3, 参考になる)
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない [takagi-hiromitsu.jp]
世の中には「やらないほうがマシ」なことさえもいっぱいあるのです。暗号学的に安全な乱数が提供されていない [ryukoku.ac.jp]PHPで、安易にCSRF対策としてワンタイムトークンを使おうとする [takagi-hiromitsu.jp]とか。
Re:前々から言われてますが (スコア:1, 興味深い)
まぁ言うことはわかるんだが、Nintendo DS なんかを家でつなぎたくなると、WEPにしなきゃ、なんて感じ。 新型DS [engadget.com]で 改善されてたらうれしいなぁ。
自分(と家族が使う)無線LAN関連機器の足並みがそろわないと、暗号強度すらあげれないんだよね。
Re:これ複数回答になってるんだよね? (スコア:1)
MACアドレスは暗号化できませんから、通信中のパケットを1つでもキャプチャすれば簡単に知ることができます。
SSIDを隠すのも同様。MACアドレスよりはキャプチャするタイミングが限られますけど、大差ありません。
Re:これ複数回答になってるんだよね? (スコア:2, すばらしい洞察)
MACアドレス調べて書き換えてまでアクセスしてくるというのは完全に「狙って」ますよね。
狙い打ちにされるようなAPでもなければそれなりにMACアドレス制限のメリットはあるんじゃないかと思うんですが
どこでもいいからどっか繋がらないかな、というような類は避けれるんじゃないかと。
なんらかの事情でWEPしか使えない環境なんかだと多少意味を帯びて来るんじゃないですかねえ
Re:前々から言われてますが (スコア:3, 興味深い)
うちは「HoneyPot」にしています(ぇ
And now for something completely different...
Re:前々から言われてますが (スコア:3, おもしろおかしい)
ところが、その擬装はたやすく見破られるのであった。 [fon.com]
:D
Nintendo DS (スコア:2, すばらしい洞察)
「セキュリティ対策実施していない」に、かなり貢献していると思う。
Re:Nintendo DS (スコア:3, すばらしい洞察)
Re:Nintendo DS (スコア:1, 興味深い)
ウチで納入した無線LAN対応の機材のアプリがバグって、機材引き取って自社への帰り道、機材の電源入れてあーでもねー、こーでもねーと弄っていたら、そこいら中のアクセスポイントを拾い捲って「(◎皿◎)ナンデスト!!」となった事がある。
流石に接続までは試しませんでしたが「DHCPなんか設定していたら最高だなー」と同僚と話していました。
#不正アクセス防止法違反でしょっぴかれるのがイヤなのでAC
Re:Nintendo DS (スコア:1)
DHCPでIPアドレスまで割り振られて…確かDNSサーバの名前から向かいの会社だってことがわかったんですが。
こういう時って、知らせに行くべきかどうか迷いますよね…。絶対怪しまれるし。
数日したらちゃんと暗号化設定されました。
#暗号化がかかってなかったので不正アクセスには該当しない――はず。
Re:Nintendo DS (スコア:2, 参考になる)
止めておいた方が無難です。厳密には電波法第59条違反になるので・・・。
-- ----- Kensuke Nezu, Samba Users Group Japan
うわー (スコア:2, 参考になる)
> あれば十分だとは思っているが、利便性(友達に貸すなど)の問題により
> WEPしか行っていない。)
104ビットWEPは1分あれば破れる [srad.jp]んですよ。
侵入されても重要なデータないから大丈夫とか思ってるのかも
しれませんが、そこから犯行予告とかされたら困りますよね?
Re:うわー (スコア:3, 参考になる)
うちのWEPかかってるAPをどうしても使いたいってのでないなら、お隣使うと思う。
Re:うわー (スコア:2, 参考になる)
無線LANの暗号化ではMACアドレスは保護されない [takagi-hiromitsu.jp]ので
容易にアドレスを取得して成りすまされます。
Re:うわー (スコア:2, 興味深い)
基本中の基本ではないでしょうか?
ウチでは、LaFoneraのMySpaceを来客用にしてます。
AOSSといえば (スコア:2, 興味深い)
WPA-PSKとか対応してるのにAOSS使うとWEPを選びやがるPSPは何とかならないもんでしょうか
そういやうちも。 (スコア:2, 興味深い)
その上でPSPだけにしたけど、やっぱりAOSSだとWEPが選ばれてしまう。
Let'sNoteやN810やD4だけにするとWEPは選ばれないので、やっぱりPSPがWEPを選ぶ元凶だと思うんでありますが……
結局DSも含めてWEPで使用中orz
PSP上でキーを自力で入力?
やってごらんなさい。
PSPを地面にたたきつけたくなるから。
コピペぐらいさせてよ!スクリーンキーボードでも用意してよ!!!
Re:そういやうちも。 (スコア:2, おもしろおかしい)
iPhoneにすら、できない高度な処理なんだ。
諦めろ。
Re:そういやうちも。 (スコア:1)
> やってごらんなさい。
やっていますが。なにか?
Re:そういやうちも。 (スコア:1)
あの携帯入力モドキで……?
間違えずに……?
あなたは尊敬に値するっつ!!!
……いや、それが普通なのか?
大したことはしてない (スコア:2, 興味深い)
あとはAESで暗号化するだけです
うちの場合は (スコア:2, 興味深い)
唯一つながるところは sshd が待っていて、ssh でそこにつなぐ事ができるクライアントだけが ssh の socks proxy でトンネルして外に出ていける仕組みになってます。
一応気休めで WPA も設定していますが。
# 携帯ゲーム機とか繋げるつもりはないのでID
ノーガードのリスクは? (スコア:2)
パソコンは一家に一台、使うときに立ち上げて使い終わったら落とすような使い方をしている人にとって、無線LANがインセキュアで不幸を被るケイスはどのような場合なのだろうか?
#ウチの親族がそんな感じなんだけど。
もうちょっと広まるといいんだけど (スコア:1, 興味深い)
安全なネットワークも用意してますが、FON使ってますよ
設問の意味が分からない (スコア:1, 興味深い)
>利用者が認識していないケースが含まれる可能性があるようだ。
こういうパターンが大半を占めてないかね? この手の質問は専門用語が壁になってて
分かるのは最後の選択肢(やってない)だけという可能性が高そうだが。
素人にする専門的な質問は、かなり設問をうまくねらないと意味が無いよ。
いやその計算はおかしい (スコア:1, すばらしい洞察)
とは結論付けられんだろうに。
>無線LANクライアント側でSSIDを「ANY」あるいは空欄に設定しない : 22.4%
はあくまで22.4%がANY(or 空欄)にしていないと言っているだけであって、これらの人物が
他の対策を何も取っていないと言っているわけではない。
IPAも3D円グラフ (スコア:1)
# 過去のストーリーを見つけるために検索しようとしたら、検索フォーム [srad.jp]に「検索ボタン」がない……。
# 前からなかったですっけ? それともこの前のデザイン変更で消えてしまった?
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Re:IPAも3D円グラフ (スコア:1)
Vistaが... (スコア:1)
検索してみると、結構、同じ症状が出ているみたいなので、仕方なしにSSIDのbroadcastはやっています。
Re:Vistaが... (スコア:4, 参考になる)
ただしノートPCから無線LANに接続していて、そのノートを外に持ち歩いて公衆無線LANを使ったりする場合は、自分が利用したことのあるSSIDをそこら中へ広報する結果になる場合があってかえって危険です。端末を持ち歩かないとしても、正規利用者の接続中はどのみちSSIDはダダ漏れになります。
詳細: http://takagi-hiromitsu.jp/diary/20071105.html [takagi-hiromitsu.jp]
ブロードキャストをオフにする前に本当にそちらの設定のほうが望ましいかどうかは十分検討してください。
近所も何箇所か・・・ (スコア:1)
今住んでるマンション5~7箇所くらい無線LANのAPが出てきて、
そのうち3、4つはセキュリティが無さそうなAPです。
電波も弱いし、つながるかは試したこと無いですけど、YahooのAPは無かったな・・・
ちなみにうちは
暗号化(AES)+SSIDステルス化だけで、
たまに会社の持ち出し用モバイルPCとか使うから
MACアドレスフィルタリングは掛けてないし、DHCPも設定してあったりします。
ハニーポッド作戦 (スコア:1, 興味深い)
というのもBBモバイルポイントのAPよりも強い
デムパCOREGAという名のAPが見えるから………じゃないかと思います。ここまであからさまだとハニーポッドで怪しいデータを吸い取ってんじゃないのかって気もするんですよ。あと、妙に特定アジア圏な人も多くて、ハングル語が出るPCを持っているんですよねぇ
Re:ハニーポッド作戦 (スコア:2, 興味深い)
ハングルを書いてあるとおりに読むと、北朝鮮で使ってる朝鮮語に
なるらしい。韓国で使ってる朝鮮語をハングルで書くと、発音の
例外規則が20くらいあったように記憶している。
本来標準朝鮮語といったようなものが、いわゆる平壌方言を元に
制定されていて、韓国の朝鮮語は、かなりソウル訛りなんだとか。
無理に日本語で理解すると、今の韓国で使っているハングルは、
「ありがとう」と書いて「おおきに」と読むようなもんだそうで。
-- Tig3r on the hedge
かなり信用できる調査結果なんじゃないですかね、コレ。 (スコア:1, 興味深い)
若干遠回りになるかも知れませんが、道さえ選べば、Wifi接続を維持しつつ、ニュースサイトを見ながら、家から最寄り駅まで行けそうなくらい転がってるんですよ。
//6割のうち、20%くらいは無線LANプリンタのhpsetupやら、一見フリーにみえても接続するとプロバイダの「月額500円です!入会してください!」的なサイトに繋がるモノだったので、66%*0.8=5割程度が実際の所なのかもしれませんが。
アルミ箔 (スコア:1)
スループットが落ちるけど、まぁ、我慢できるレベルだし。
Re:アルミ箔 (スコア:2, すばらしい洞察)
フリー (スコア:1, 参考になる)
だから、私は誰でも使えるように、自宅の無線LANは開放してる。
実際、利用してくれてる人がいるかどうかは判らないが。
セキュリティに無関心なのではなく、意図的にやってる人もいるのです。
Re:フリー (スコア:1, おもしろおかしい)
ただし、DNSがちょっと特殊で、GoogleとかYahooはローカルのサーバーのアドレスを返しちゃうんだ。
別にフィッシングしようってんじゃないので、GoogleやYahooのようなページを表示はしないよ。
でも、ブラウザの仕様上、クッキーが送られてきちゃうんだよね。
悪用するつもりはないけど、これは仕方ないよね。
隣の家のYBBUserに中学生が接続しに来る (スコア:1, 興味深い)
Re:隣の家のYBBUserに中学生が接続しに来る (スコア:2, 興味深い)
今年の初冬、隣の2階建てアパートの2階北側通路で日陰で寒風が吹くにもかかわらず、放課後に10人ほどの小学生が座り込んでDSやってました。
庭掃除をしていて、会話の内容が聞くともなしに耳に入ってきたんですが、どこかのAPに接続して楽しんでいるようでした。
ルータのログを確認したところ、どうやらウチではなさげでしたが、その場所が野良APの電波の入りが良かったのではないかと思われます。
# 以下オフトピ
# ほかにDS鬼ごっこもやっていて、こんな田舎でも普及していたようでしたが、他人の敷地に入ってくるのはまあ目くじら立てるほどじゃないんだけど、クルマを出す事が多いんで止めてほしいといえば止めてほしいところです。
# また、ゲームだけならまだかわいいもんですが、これが中学生になるといつのまにか、建物と建物のスキマに集まって、隠れて酒飲んだりエロ本見たりタバコを吸ったりするようになってしまって、落書きやら火災やらと周辺住民の不安が増すことになります。実際、そのアパートの陰でたむろしてあんな事やこんな事をしていた中学生連中が通報されて、現場を現認して怒鳴り込んできたアパートの管理会社の社長と生活指導の教員によって、しょっ引かれていった事もありましたねぇ。
実はセキュリティ向上に貢献しているワタシ? (スコア:1, 興味深い)
無線LANの設定頼まれるのが面倒なので、機器導入をちょくちょく相談されるワタシはずっと答えてます。
セキュリティの話は長くなるので一切しません。←これが、「対策を実施していない」が多い原因かもw
Re:WEP (スコア:2)
WPA/WPA2パーソナルってやつで通信もできてるし・・・
Re:WEP (スコア:1, 興味深い)
謎のIPアドレス(たぶんアドホックネットワークのアドレス)が設定されてしまうことがあり、
その状態になるとリセットしてやらないとAirMac管理ソフトから見えなくなってしまうのです。
また、WPAの対応状況が古いやつと新しいやつで違うみたいで、
いろいろ変更しながらやったのですが、新旧両方のLEDが緑色にならないのですよ。
詳細は忘れましたが、WPAの強度やらを変更していくと、
新しいやつだけが接続できたり、逆に古いやつだけ接続できたりしたわけです。
それでWEPにすると両方緑色になってくれるので...ということでした。
もちろんWEP以外の方法でも、
新旧両方のAirMacを同時に認識させる方法がある可能性も十分にありますが、
私には見つけることができませんでした。
Re:「YahooBB」のフリースポットがたくさん (スコア:2, 参考になる)
お客さんのとこで、自分でわざわざルーター導入して1~2mの距離でノートPCを
使用しているのに通信が遅くてよく切れるというケースがあり、調べたら
近所のYahoo!BBモデムにつながっていたというオチが。
Re:不必要 (スコア:1)
FONの中の人って、FON経由で犯行予告とかあった場合、FON AP設置者に官憲の手が及ばないよう守ってくれるんだろうか??
Re:不必要 (スコア:2, 参考になる)
ゲストでアクセスするにもブラウザでのID認証が必要で、ログに記録される。
自分のAPのログはFONのサイトで確認出来るよ。
Re:不必要 (スコア:2, 興味深い)
でもみんな、用が済んだらファイル削除して去っていくのね。だからなにをやりとりしてるのか分からなかった。
そこでファイル削除禁止にしてみたら、いっぱいファイルが手に入って…
DVDのイメージやら何やら、商用ソフトと思しきWindowsの実行ファイルやらがいっぱいあった。
でも、怖くて中身が見れなかったよ。
「俺だったらこんな意地悪をしてやる」と考えると、どうしてもね…
# mishimaは本田透先生を熱烈に応援しています