海上自衛隊、無線LANを暗号化せずに運用。個人情報漏れの疑いも 91
ストーリー by hylom
非暗号化無線LANっていつの時代の話だ…。 部門より
非暗号化無線LANっていつの時代の話だ…。 部門より
Anonymous Coward曰く、
海上自衛隊の舞鶴基地と呉基地に停泊している護衛艦に、暗号化を行わずに運用されていた無線LANがあったそうだ。実際に電子メールのパスワードなどが漏れていたらしい。(毎日.jpの記事)。
記事によると、無線LANは艦の隊員がWebブラウズやメールの送受信を行うために使われていたそうで、機密情報のやりとりには使われていないとのことだ。
最近はWEPの脆弱性やWPAのTKIPのクラックなどが話題だが、今回の事件はそれ以前のレベルの問題で、自衛隊ですらこのようなレベルの運用がされていたとは驚きを隠せない。
名前負け (スコア:5, おもしろおかしい)
Re:名前負け (スコア:3, おもしろおかしい)
Re:名前負け (スコア:1, 参考になる)
Re:もはやお家芸 (スコア:1, 興味深い)
正面装備を揃えることばかりに腐心して他がダメなのもよく似てる。
Re: (スコア:0)
費用対効果もわかりにくいですし(予算とりにくい)
基幹部は専用線なんですけどねー
反省しなさいっ! (スコア:3, 参考になる)
民間企業に行けば、総務のおっちゃんが、手押し車を引いて職場を回っています。
手押し車には無線LANの受信機が仕込んであって、未承認のアクセスポイントを
片っ端から潰していくのです。予算がどーのこーのなんて甘えです。反省しなさいっ!
#あえてどこの会社とはもうしませんが、目の付け所が良いですね。
公務員というものは (スコア:1, すばらしい洞察)
本来なら職務が終わった後は業務外のことなんかやらずにとっとと職場から帰宅しなければなりません。
でもって、職場に私物を持ち込むこと、その私物を業務に使用するなんてもってのほかです。
自前のPCで Winny つかってるひとが業務にかかわる情報をそのPCに突っ込んで作業するのと
「私物を業務に利用する」という意味では何にも変わりません。
公務員はルールが効率性(利益)に、民間企業は利益がルールに優先するからこうなるんじゃないでしょうか。
Re:反省しなさいっ! (スコア:1, すばらしい洞察)
民間企業の場合、そうやって総務のおっちゃんが未承認のアクセスポイントを潰した場合、その事実をわざわざ社外に発表したりはしないと思う。
公務員の場合、もしおっちゃんがそうやって暗号化されていないアクセスポイントを見つけたとすると、
・その事実を発表しない → 後になってそれが発覚すると事実隠しといって叩かれる。
・その事実を発表する → 運用がなっていないと言われ、今回のように叩かれる。
どのみち叩かれるんじゃん。
叩かれないようにするには・・・おっちゃんがそんな仕事しなければいいんだ(・∀・)
脳内補完(オフトピ) (スコア:1)
「(人件費を)増(ふ)やしてや、そのおっちゃんが~」
と脳内補完して読んでたらわけわかめ。
なんでソコだけ関西弁なのかとこれまた悩む。
そうか、「増やしてや」->「ましてや」なのか!
と、やっと気がついたをれはまぬけであほんだら。
Re: (スコア:0)
パソコン渡すというのがまちがってるのでは…。
コストがむしろ下がると思うけどな。
というか、中身の分からないOS載せるとか終わってる…。
#いや、TRONとかじゃなくて。
#……MonaOS?
どっかの地区で (スコア:4, 興味深い)
そのあといろいろ策を考え、やめさせようとしたんですが無理でした
こんなんで階級社会、感じてもな
どういうデータが流れてたか知ってるのでA/C
#上級部隊の連中がセキュリティ考えなさずぎ
#でセキュリティをあげようとすると予算がないってあんたら...
驚きを隠せない? (スコア:2, おもしろおかしい)
もう慣れたというか、日常風景の一部というか。
Re:驚きを隠せない? (スコア:3, 興味深い)
Re:驚きを隠せない? (スコア:2, すばらしい洞察)
各区画には家電用のコンセントもありますからPLCでもよかったのでしょうが、無線のほうが費用がかからなかったのではないかと。
いずれにしても、ここ数年不祥事が続ため、綱紀粛正やらなんやで、形式的な手続きが煩雑にり組織運営で融通がきかなくなっているようです。
いろいろと予算と人員が削減されるなかで、業務は増大し規律の維持が難しくなっている、とかなんとか。
民間も似たようなものかもしれませんが、もうすこしなんとかならないものかと。
防衛省全体でみると防大や技本では情報通信技術についての研究はしていても情報リテラシー教育についての調査研究はなされていないようです。
陸海空それぞれ情報流出させていますが、教育課程から改善していかないと有効な対策などとりようもないでしょう。
Re: (スコア:0)
研修宿泊施設で無暗号で無線LANが構築されており
あきれはてた(今年)
まあ研修生のつかうPCなんざどうでもいいってことですか
Re:驚きを隠せない? (スコア:1)
>研修宿泊施設で無暗号で無線LANが構築されており
それは、利用者もある程度リテラシがあるから
セキュアな通信路はVPN張るなり自前で確保しろという話なのでは?
宿泊施設利用者が使えるということで提供されているインフラなんですよね?
# ではないとしたら、ハニーポット....
Re:驚きを隠せない? (スコア:1, 興味深い)
立ててSSL 接続というのはあり得ますね。
今回の自衛隊の件も、無線 LAN 云々よりもメールサーバへのアクセスに
平文の POP3 が使われていたことが問題だったりして。
ネットワーク接続に認証がかけられていて、その認証が暗号化された経路で
おこなわれていたか、ってとこが気になります。
Re:驚きを隠せない? (スコア:3, すばらしい洞察)
Re:驚きを隠せない? (スコア:2, 参考になる)
無線が暗号化されていることと、IP Reachableであるかの関連は少なくないですかね?
というか、どこからのIP Reachability?
無線が暗号化されていても無線ネットワーク内ではIP Reachableだったりします。
# 今ちょっと調べたら、IP Reachableというのがインターネットに接続されていること
# という意味があるらしいことが分かった・・・初めて知った・・・
# ここでは、単にIPが可達かどうかという意味で突っ込んでおきます。
第3者が利用するようなネットワークに接続する場合は、
無線の暗号化に関わらず、自分の端末の防衛はまず考えることだと思います。
# なので、IP Reachableになることで警戒しなくてはいけないことが
# あるのはよく分かりますが、ぶら下げるコメントはちょっと的外れかと。
ツッコミへのツッコミ? (スコア:1)
IPは何の略でしょう?
-- う~ん、バッドノウハウ?
Re: (スコア:0)
自衛隊云々というより (スコア:2, すばらしい洞察)
Re:自衛隊云々というより (スコア:1, すばらしい洞察)
普及させる方が現実的かな
Re: (スコア:0)
Re: (スコア:0)
Re:自衛隊云々というより (スコア:1)
Re:自衛隊云々というより (スコア:4, おもしろおかしい)
森井昌克さんへ (スコア:2, 興味深い)
永遠に対策されないと考えるのが妥当である以上、今すぐ全研究結果を破棄した方がいいですよん。
#破棄したところで、というか待ち続ける間に、結局他から出てくるだけだと思うのでAC
Re: (スコア:0)
DNS Spoofingの新しい手法はまさにそういう展開をたどりましたね。
通信兵 (スコア:2, すばらしい洞察)
自分の戦場(研究室)の通信兵は半年くらい行方知れずなので,勝手にゲート開いたりしてしまっている.いいのかな?いいわけない!
冗談は置いておいて,自衛隊末端にネットワーク管理を専門にしている人がいないのが原因じゃないかな?
たとえば中途半端な知識持ってる人がいたら,
自衛隊員1「無線LANにしたら,ケーブルいらずで邪魔になりませんよ」
自衛隊員2「へ~,どうすればできんの?」
自衛隊員1「無線ルーター置けばいいんですよ」
自衛隊員2「予算とってないから無理じゃね?」
自衛隊員1「FONっていう安いルーター買ったんで,今度持ってきますよ!設定も自分でやりますし!」
こんな会話,どんな職場でもありそうな気がする.そんなことない?
おやくしょのかいもの(おふとぴ) (スコア:4, 興味深い)
国立大学・研究所の先生だったひともいらっしゃると思うのでコメントがつくことを期待して。
>(備品扱いにするために3万円以上の)お品をアレソレ思案していましたよ。
消耗品扱いにするために3万円以下/入札よけのために30万円以下の、の間違いでは?
お役所は1会計年度ごとにもらえるお小遣いを計画的に使わなければならないのですが、それは毎年6月ごろもらえて、3月末までに使い切らねばなりません。途中でなくなったらもう何も買えません。そして国会の予算審議が遅れたりすると6月にもらえるかどうかも定かでありません。
なので、控えめにやっていって、秋冬ごろからどばーっとかいものするわけですが、大きなお買い物には膨大な事務処理が必要で納入期限に間に合いません。
したがって運用上の必要に迫られて上のような細工をすることはあるのでしょう。
4,5月もおこづかいはないのでお買い物はできません。だから1-3月のおかいものでその分をまかなわなければなりません。
また、3万円以下のパーツをばらばらに10個購入して30万相当のPCを一台自前で組んで用意した場合、すべて消耗品で組みあがったPCは備品にならないわけですが、30万円のPC一台を購入した場合は備品に当然なっちゃうわけで。
前者はもしかしたら自作の意味をわかってくれないひとには脱法と取られるのかもしれません。
>無線LANもある程度高かった時代なら鶴の一声で導入も可能だった鴨ね。
物品購入と工事は別になるのです。高額だと競争入札になるのです。
それぞれ予算執行額に応じて業者への周知期間やら必要な会議やら仕様書やらが出てきます。
そして、一度おかいものしちゃったら早々簡単には更新できないのです。
「おまいらこないだこれかったでしょ?有効活用しなさい」と。
だから、某なんたらかんたらっていうわけのわからないお題目を買い物にいちいちつけて
「前かったものとは違うんだよ、これが必要なんだ」ってのをアピールしなきゃいけないのです。
セキュリティ上問題がでてきても「鶴」を説得できなければ予算はつきません。予算がつかなければ無線LANが丸裸でもなんともしようがありません。
(このニュースになった自衛艦の無線LANが野良なのか、工事としてはいったものかは存じませんが)
2001年導入ということで、仕様書にWEPすら書いていなかったとなれば、その後の予算がつかなければ更新もできず、ということだったのではないでしょうか。
>やっぱし3万円も1万件ほどでも弁済してもらえば・・・って(回収費用は思案も無く)埋蔵金扱いだったりして。
毎年備品が存在するかチェックが入りますし、なくなってたら大事になります。使えなくても壊れても備品は捨てられないし、壊れたら予算確保して修理して使わないと検査院に怒られるし、で。
消耗品の私物化、ではないですか?
#もちろん自衛隊は敷地も倉庫も広ければ管理物品も多いわ中途で退職する人もいて事情がわからなくなったり、とかの特有の事情もあるのかもしれません
それぞれの行動は民間からみると不可解なものが多いのかもしれませんが、お役所が従うべき法令・政令にのっとって会計処理をするためだったりもするのです。
#WEPで導入して使ってるけど、更新する予算がない、どうしよう、なんて人は結構いるはず。
日本は侵略国家ではありません (スコア:2, おもしろおかしい)
実力だよ、ヤマトの諸君 (スコア:1, すばらしい洞察)
Re: (スコア:0)
たぶんきっと
情報統制の意識甘すぎ (スコア:1, すばらしい洞察)
どんな時間帯にどんな内容のWebページを見たりメールを送っているかでその艦内の勤務体制を推測する手がかりにはなるわけで。戦争は人間がするもんだから艦内での勤務体制って敵には知られたくないものだと思うんだけど、違うの?
一般企業は他社との競争によって正しく情報管理する圧力が掛かっている。一般の軍隊は他国の軍隊との競争で圧力が掛かっている。
さて自衛隊は…他国と戦争(あるいは戦闘)すること考えていないのかなあ。だったらなんで武器持ってんだよって話だけど。だから情報管理する意識に欠けているんじゃないかと思ってしまう。穿ち過ぎだといいんだけど。
Re:情報統制の意識甘すぎ (スコア:1)
機密情報を使うPCには無線LAN機器はインストールされてないので漏洩はしない。
無線LANPCとローカルLANでつながってはいるけど。だってつながってないと困るじゃん!
ってオチじゃないよねえ・・・
Re:情報統制の意識甘すぎ (スコア:1)
これは立派なポジティブ・カウンターインテリジェンスですよ
--
のりたま@でちゅーんかもしれんけど
意図的に傍受させてるのですよ、たぶん (スコア:1, おもしろおかしい)
にもかかわらず、無線LANの傍受を許しているのは、わざとでしょう。
傍受したり侵入したりして得た情報が、誰に渡るのかを考えれば、
そういうルートを確保しておくのは安全保障上、重要なことです。
Re:意図的に傍受させてるのですよ、たぶん (スコア:1, おもしろおかしい)
まぁ、今回の件は違うんじゃねぇのとは思うけど、
何かと穴をつついて粗探ししていい気になってる奴も
実はハニーポットに引っかかってるだけかもしれないから
調子に乗りすぎない方がいいかもね。
Re:意図的に傍受させてるのですよ、たぶん (スコア:1)
ブチ当たったり調べてみない限りばれないが、相手の行動を制限できる。
消しちゃうと座礁した瞬間「ぁゃιぃ」フラグが立っちゃう。
気になったのは (スコア:0)
関係者によると~だの専門家は~だの固有名詞が出てきやしない
何の関係者だ。何の専門家だ。芸能記事かっての。
あとパスワード手に入れたのは罪にならないの?
Re: (スコア:0, 参考になる)
>電波法(秘密の保護)
>第59条 何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信(電気通信事業法第4条第1項又は
>第164条第2項の通信であるものを除く。第109条並びに第109条の2第2項及び第3項において同じ。)を傍受してその存在若しくは
>内容を漏らし、又はこれを窃用してはならない。
傍受まではかまわないんだけど、”存在”や”内容”を漏らしちゃったらアウト。この件の”専門家”はアウトだね。
POP3のアカウントを叩きに行ったら、電波法の”窃用”にも相当するし、不正アクセス行為の禁止等に関する法律にも勿論該当するはず。
Re:気になったのは (スコア:2, 参考になる)
>>第59条 何人も法律に別段の定めがある場合を除くほか…
少なくともアナログ時代にこの条文は
「何年何月何日何時何分何秒にA市のα局とB市のβ局間でXXという
内容の通信があった」
とかなり具体的なものでなければ該当しないという解釈でした。
でなききゃ周波数帳や無線雑誌を発行してた出版社はお縄になってます。
よって、
>>傍受まではかまわないんだけど、”存在”や”内容”を漏らしちゃったらアウト。
>>この件の”専門家”はアウトだね。
このぐらいでは少なくとも電波法上は問題ないはずです。
電波法59条・109条と判例 (スコア:2, 参考になる)
最高裁の判例 [PDF] [courts.go.jp]では以下のようになっていますから、POP3のパスワードを盗むのは完璧にアウトでしょう。どういった経緯の裁判かはこちらの裁判要旨 [courts.go.jp]で。
東京地裁の判例 [PDF] [courts.go.jp]では以下のようになっています。
これを読む限り、内容を時系列で記録したものだけでなく、通信内容をわかりやすくまとめたものについても、無線通信の秘密を漏らす行為に該当するとしていますから、何時何分何十秒のレベルまで示さなければ秘密を漏らしたことにはならないとはいえないでしょう。
余談。誰がどの周波数の割り当てを受けているかというのは、誰の家に電話線が来ているか、といった部類の話ですから通信の内容ではありませんし、通信の秘密とは関係ありません。また、電波法第25条の規定に基づいて総務省 電波利用ホームページ | 無線局情報検索 [soumu.go.jp]で無線局の免許情報が一般に公開されています。
Re:電波法59条・109条と判例 (スコア:1)
人が言ってもいないことを言ったかのようなデマを書き散らかすのはやめてくださいね。
そもそも、私が引用した東京地裁の判決には「法的に許容された無線傍受の範囲を超えて」という文言があるのですから、「受信する行為そのものが違法であることを意図」しているはずなどありません。
# ラジオライフみたいな三流雑誌にだまされないように気をつけてくださいね。
# あなたのような日本語の不自由な方は特に危険ですから。
Re:気になったのは (スコア:1)
いや、疑ってるんじゃなくて(むしろ常識的に考えてその通りだと思います)、単純に不安なので。
専守防衛 (スコア:0)
偽装工作した方がいいんじゃないのかな?
それって? (スコア:0)
一方ロシアは (スコア:0)
Re:海上自衛隊のメール (スコア:1, おもしろおかしい)