パスワードを忘れた? アカウント作成
40199 story
セキュリティ

海上自衛隊、無線LANを暗号化せずに運用。個人情報漏れの疑いも 91

ストーリー by hylom
非暗号化無線LANっていつの時代の話だ…。 部門より

Anonymous Coward曰く、

海上自衛隊の舞鶴基地と呉基地に停泊している護衛艦に、暗号化を行わずに運用されていた無線LANがあったそうだ。実際に電子メールのパスワードなどが漏れていたらしい。(毎日.jpの記事)。

記事によると、無線LANは艦の隊員がWebブラウズやメールの送受信を行うために使われていたそうで、機密情報のやりとりには使われていないとのことだ。

最近はWEPの脆弱性やWPAのTKIPのクラックなどが話題だが、今回の事件はそれ以前のレベルの問題で、自衛隊ですらこのようなレベルの運用がされていたとは驚きを隠せない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 名前負け (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2008年11月12日 20時20分 (#1454324)
    自衛隊って情報流出と通信ネットワークの自衛から始めたほうがよさげな気がする
    • Re:名前負け (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2008年11月12日 21時37分 (#1454387)
      情報公開に熱心な政府機関と言ってほしいな。
      親コメント
    • Re:名前負け (スコア:1, 参考になる)

      by Anonymous Coward on 2008年11月12日 22時39分 (#1454440)
      ネットワークに強いはずの会社の無線もフリーでした。いまはwepだけかかってます。 "お客様満足度No1ケイタイ"等を扱う某通信業者ですが。
      親コメント
    • by Anonymous Coward on 2008年11月13日 7時58分 (#1454618)
      先の大戦でのインテリジェンスの欠如は血の教訓だったはずなのにね。
      正面装備を揃えることばかりに腐心して他がダメなのもよく似てる。
      親コメント
    • by Anonymous Coward
      20万人以上の組織で事故0にするのはかなり難しいかと・・・
      費用対効果もわかりにくいですし(予算とりにくい)
      基幹部は専用線なんですけどねー

      • by Anonymous Coward on 2008年11月12日 23時35分 (#1454479)
        そんなのイイワケです。予算なんて取るほどの話じゃありません。
        民間企業に行けば、総務のおっちゃんが、手押し車を引いて職場を回っています。

        手押し車には無線LANの受信機が仕込んであって、未承認のアクセスポイントを
        片っ端から潰していくのです。予算がどーのこーのなんて甘えです。反省しなさいっ!

        #あえてどこの会社とはもうしませんが、目の付け所が良いですね。
        親コメント
        • 公務員というものは (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2008年11月13日 5時59分 (#1454601)
          自分の業務でないことを職務時間中にやってたら職務専念違反で、
          本来なら職務が終わった後は業務外のことなんかやらずにとっとと職場から帰宅しなければなりません。

          でもって、職場に私物を持ち込むこと、その私物を業務に使用するなんてもってのほかです。
          自前のPCで Winny つかってるひとが業務にかかわる情報をそのPCに突っ込んで作業するのと
          「私物を業務に利用する」という意味では何にも変わりません。

          公務員はルールが効率性(利益)に、民間企業は利益がルールに優先するからこうなるんじゃないでしょうか。
          親コメント
        • Re:反省しなさいっ! (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2008年11月13日 9時40分 (#1454650)
          ふと思った。

          民間企業の場合、そうやって総務のおっちゃんが未承認のアクセスポイントを潰した場合、その事実をわざわざ社外に発表したりはしないと思う。

          公務員の場合、もしおっちゃんがそうやって暗号化されていないアクセスポイントを見つけたとすると、
          ・その事実を発表しない → 後になってそれが発覚すると事実隠しといって叩かれる。
          ・その事実を発表する → 運用がなっていないと言われ、今回のように叩かれる。

          どのみち叩かれるんじゃん。
          叩かれないようにするには・・・おっちゃんがそんな仕事しなければいいんだ(・∀・)
          親コメント
      • by Anonymous Coward
        ワケもわかってないやつに
        パソコン渡すというのがまちがってるのでは…。
        コストがむしろ下がると思うけどな。

        というか、中身の分からないOS載せるとか終わってる…。
        #いや、TRONとかじゃなくて。
        #……MonaOS?
  • by Anonymous Coward on 2008年11月13日 0時20分 (#1454502)
    去年DS2keyを使って見れますけどどうしますかって言ったら有耶無耶にされました。
    そのあといろいろ策を考え、やめさせようとしたんですが無理でした

    こんなんで階級社会、感じてもな

    どういうデータが流れてたか知ってるのでA/C

    #上級部隊の連中がセキュリティ考えなさずぎ
    #でセキュリティをあげようとすると予算がないってあんたら...
  • 驚きを隠せない? (スコア:2, おもしろおかしい)

    by quililila (23086) on 2008年11月12日 20時36分 (#1454339) 日記

    自衛隊ですらこのようなレベルの運用がされていたとは驚きを隠せない。
    いや、もう全然驚かないんですが・・・
    もう慣れたというか、日常風景の一部というか。
    • by papa-pahoo (30621) on 2008年11月12日 23時24分 (#1454475) ホームページ
      論理障壁&物理障壁に加え、入退室が徹底している某社サーバルームから漏洩している無線LANの電波(素のまま)を拾っちゃったときは、驚きというより、笑うしかなかったですね。結構ぶ厚い壁なんですが、一体どんな無線を立ててたんだろう(苦笑)。
      親コメント
    • Re:驚きを隠せない? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2008年11月13日 0時25分 (#1454507)
      今回の件、パソコンの用途が公務のためか私用のためかがよくわからないのですが、艦内に有線LAN回線を引きまわわすためには所定の手続きが必要で、壁面を貫通するような工作はまず認められませんので、無線にしたのでしょう。
      各区画には家電用のコンセントもありますからPLCでもよかったのでしょうが、無線のほうが費用がかからなかったのではないかと。

      いずれにしても、ここ数年不祥事が続ため、綱紀粛正やらなんやで、形式的な手続きが煩雑にり組織運営で融通がきかなくなっているようです。
      いろいろと予算と人員が削減されるなかで、業務は増大し規律の維持が難しくなっている、とかなんとか。
      民間も似たようなものかもしれませんが、もうすこしなんとかならないものかと。

      防衛省全体でみると防大や技本では情報通信技術についての研究はしていても情報リテラシー教育についての調査研究はなされていないようです。
      陸海空それぞれ情報流出させていますが、教育課程から改善していかないと有効な対策などとりようもないでしょう。
      親コメント
    • by Anonymous Coward
      某つくばの研究施設に行ったときも
      研修宿泊施設で無暗号で無線LANが構築されており
      あきれはてた(今年)
      まあ研修生のつかうPCなんざどうでもいいってことですか
      • by kicchy (4711) on 2008年11月12日 21時11分 (#1454363)
        >某つくばの研究施設に行ったときも
        >研修宿泊施設で無暗号で無線LANが構築されており

        それは、利用者もある程度リテラシがあるから
        セキュアな通信路はVPN張るなり自前で確保しろという話なのでは?

        宿泊施設利用者が使えるということで提供されているインフラなんですよね?

        # ではないとしたら、ハニーポット....
        親コメント
        • by Anonymous Coward on 2008年11月12日 21時29分 (#1454380)
          ウェブアクセスに限定した用途ならば、無線は暗号化せずに、認証サーバを
          立ててSSL 接続というのはあり得ますね。

          今回の自衛隊の件も、無線 LAN 云々よりもメールサーバへのアクセスに
          平文の POP3 が使われていたことが問題だったりして。

          ネットワーク接続に認証がかけられていて、その認証が暗号化された経路で
          おこなわれていたか、ってとこが気になります。
          親コメント
          • Re:驚きを隠せない? (スコア:3, すばらしい洞察)

            by TameShiniTotta (19794) on 2008年11月12日 22時02分 (#1454407)
            興味深いとかモデついちゃってるけど、IP Reachableになることにあまりにも無頓着過ぎないかい?
            親コメント
            • by Anonymous Coward on 2008年11月12日 22時27分 (#1454431)
              >興味深いとかモデついちゃってるけど、IP Reachableになることにあまりにも無頓着過ぎないかい?

              無線が暗号化されていることと、IP Reachableであるかの関連は少なくないですかね?
              というか、どこからのIP Reachability?
              無線が暗号化されていても無線ネットワーク内ではIP Reachableだったりします。

              # 今ちょっと調べたら、IP Reachableというのがインターネットに接続されていること
              # という意味があるらしいことが分かった・・・初めて知った・・・
              # ここでは、単にIPが可達かどうかという意味で突っ込んでおきます。

              第3者が利用するようなネットワークに接続する場合は、
              無線の暗号化に関わらず、自分の端末の防衛はまず考えることだと思います。

              # なので、IP Reachableになることで警戒しなくてはいけないことが
              # あるのはよく分かりますが、ぶら下げるコメントはちょっと的外れかと。
              親コメント
            • by Anonymous Coward
              だから、それは「用途による」って話でしょ?
  • 自衛隊云々というより (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2008年11月12日 21時01分 (#1454355)
    自衛隊云々というより、一般人のセキュリティーに対する認識を変えないとどうしようもないのでは?
  • by Anonymous Coward on 2008年11月12日 21時20分 (#1454368)
    ……海上自衛隊でさえこんなんですから、世間の対策を待って実証コード公開するつもりであれば、
    永遠に対策されないと考えるのが妥当である以上、今すぐ全研究結果を破棄した方がいいですよん。

    #破棄したところで、というか待ち続ける間に、結局他から出てくるだけだと思うのでAC
    • by Anonymous Coward
      > 破棄したところで、というか待ち続ける間に、結局他から出てくるだけ
      DNS Spoofingの新しい手法はまさにそういう展開をたどりましたね。
  • 通信兵 (スコア:2, すばらしい洞察)

    by tamatukurikei (32435) on 2008年11月13日 1時52分 (#1454547) 日記
    ここで通信兵の出番なのかな?
    自分の戦場(研究室)の通信兵は半年くらい行方知れずなので,勝手にゲート開いたりしてしまっている.いいのかな?いいわけない!

    冗談は置いておいて,自衛隊末端にネットワーク管理を専門にしている人がいないのが原因じゃないかな?
    たとえば中途半端な知識持ってる人がいたら,

    自衛隊員1「無線LANにしたら,ケーブルいらずで邪魔になりませんよ」
    自衛隊員2「へ~,どうすればできんの?」
    自衛隊員1「無線ルーター置けばいいんですよ」
    自衛隊員2「予算とってないから無理じゃね?」
    自衛隊員1「FONっていう安いルーター買ったんで,今度持ってきますよ!設定も自分でやりますし!」

    こんな会話,どんな職場でもありそうな気がする.そんなことない?
  • by Anonymous Coward on 2008年11月13日 6時42分 (#1454609)
    だから無線LANもノーガードでいれば、誰も攻撃してはこないのです
  • by Anonymous Coward on 2008年11月12日 20時20分 (#1454325)
    「自衛隊ですら」ってのが嫌味にしか聞こえないのですが。
    • by Anonymous Coward
      国防軍に昇格すれば治りますよ
      たぶんきっと
  • 情報統制の意識甘すぎ (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2008年11月13日 3時26分 (#1454572)

    記事によると、無線LANは艦の隊員がWebブラウズやメールの
    送受信を行うために使われていたそうで、機密情報のやりとりには使われていないとのことだ。

    どんな時間帯にどんな内容のWebページを見たりメールを送っているかでその艦内の勤務体制を推測する手がかりにはなるわけで。戦争は人間がするもんだから艦内での勤務体制って敵には知られたくないものだと思うんだけど、違うの?

    一般企業は他社との競争によって正しく情報管理する圧力が掛かっている。一般の軍隊は他国の軍隊との競争で圧力が掛かっている。
    さて自衛隊は…他国と戦争(あるいは戦闘)すること考えていないのかなあ。だったらなんで武器持ってんだよって話だけど。だから情報管理する意識に欠けているんじゃないかと思ってしまう。穿ち過ぎだといいんだけど。
  • by Anonymous Coward on 2008年11月13日 3時38分 (#1454576)
    自衛隊には情報保全のための組織があります。
    にもかかわらず、無線LANの傍受を許しているのは、わざとでしょう。
    傍受したり侵入したりして得た情報が、誰に渡るのかを考えれば、
    そういうルートを確保しておくのは安全保障上、重要なことです。
  • by Anonymous Coward on 2008年11月12日 21時44分 (#1454395)
    記事の内容の方だなあ

    関係者によると~だの専門家は~だの固有名詞が出てきやしない
    何の関係者だ。何の専門家だ。芸能記事かっての。

    あとパスワード手に入れたのは罪にならないの?
    • Re: (スコア:0, 参考になる)

      by Anonymous Coward
      触れるならこの法律

      >電波法(秘密の保護)
      >第59条 何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信(電気通信事業法第4条第1項又は
      >第164条第2項の通信であるものを除く。第109条並びに第109条の2第2項及び第3項において同じ。)を傍受してその存在若しくは
      >内容を漏らし、又はこれを窃用してはならない。

      傍受まではかまわないんだけど、”存在”や”内容”を漏らしちゃったらアウト。この件の”専門家”はアウトだね。

      POP3のアカウントを叩きに行ったら、電波法の”窃用”にも相当するし、不正アクセス行為の禁止等に関する法律にも勿論該当するはず。
      • by Anonymous Coward on 2008年11月13日 1時06分 (#1454530)
        >>電波法(秘密の保護)
        >>第59条 何人も法律に別段の定めがある場合を除くほか…

        少なくともアナログ時代にこの条文は

        「何年何月何日何時何分何秒にA市のα局とB市のβ局間でXXという
         内容の通信があった」

        とかなり具体的なものでなければ該当しないという解釈でした。
        でなききゃ周波数帳や無線雑誌を発行してた出版社はお縄になってます。

        よって、

        >>傍受まではかまわないんだけど、”存在”や”内容”を漏らしちゃったらアウト。
        >>この件の”専門家”はアウトだね。

        このぐらいでは少なくとも電波法上は問題ないはずです。
        親コメント
        • by mkro (14246) on 2008年11月13日 17時44分 (#1454983) ホームページ 日記

          最高裁の判例 [PDF] [courts.go.jp]では以下のようになっていますから、POP3のパスワードを盗むのは完璧にアウトでしょう。どういった経緯の裁判かはこちらの裁判要旨 [courts.go.jp]で。

          なお、電波法一〇九条一項にいう「窃用」とは、無線局の取扱中に係る無線通信の秘密を発信者又は受信者の意思に反して利用することをいうと解すべきであり、本件について右規定の窃用の罪が成立するとした原判断は、結論において相当である。

          東京地裁の判例 [PDF] [courts.go.jp]では以下のようになっています。

          電波法一〇九条一項に定める「窃用」とは、無線局の取扱中に係る無線通信の秘密を発信者又は受信者の意思に反して利用することであって、当該行為がその利用意思を反映するものと客観的に認められる程度に外形的に明確になった段階で成立するものと解される。また、同項に定める「漏らす」とは、無線局の取扱中に係る無線通信の秘密を第三者に漏らし、又は第三者が知り得る状態に置くことを指すものと解される。

          本件において、被告人らは、傍受した無線内容を選別し、FマンションG号室に備付けのノート等に記録して整備するとともに、右傍受内容をHビルI号室に在室する革マル派の構成員に速報し、右受報者をして同室に備付けの「連絡ノート」と題するファイル帳に転記させている。そして、同ファイル帳は、同室一二畳洋間のロッカー内に保管されていたのであるから、同室内に出入りする同派の構成員の閲覧に供する状態にあったと認められる。そして、被告人らが整備したファイル帳等の記載内容を見ると、連絡事項を時系列順に並べただけのもの(甲一七五、一八一)のほかに、特定の集会等ごとにその経過や警察の警備実施状況等を分かりやすく整理してまとめたもの(甲一七八)や、無線周波数別に通信内容を分かりやすく整理してまとめたもの(甲一八〇)などが存在するのであって、その情報整理の方法等に照らすと、被告人らがその整理した情報を利用する意図を有していたことは明らかである。さらに、FマンションG号室から発見されたパンフレット(甲一八二)の記載内容から、HビルI号室が、革マル派の各種情報を集積して組織防衛のために適切な指示を出す場所と認められることを合わせ考えると、右のようなファイル帳等の整理により、そこに記載された内容は、同派の構成員からの問い合わせに即応し得る状態に置かれたものと認められる。

          被告人らのこれらの行為は、法的に許容された無線傍受の範囲を超えて、警察の警備実施状況等に関する無線通信の秘密を利用する意思が外形的に明確になったものであって、右無線通信の発受信者であるN4巡査部長や警視庁通信指令本部の合理的な意思に反するものであることは明らかであり、また、第三者である革マル派の構成員が右無線通信の秘密を知り得る状態に置いたものということができる。したがって、被告人らの右一連の行為が、無線局の取扱中に係る無線通信の秘密を漏らし、かつ、窃用する行為に該当することは明らかというべきであり、被告人が、革マル派の構成員らと共謀の上、電波法一〇九条一項に違反する行為を行ったことは十分に認めることができ、弁護人の無罪の主張は、理由がない。

          これを読む限り、内容を時系列で記録したものだけでなく、通信内容をわかりやすくまとめたものについても、無線通信の秘密を漏らす行為に該当するとしていますから、何時何分何十秒のレベルまで示さなければ秘密を漏らしたことにはならないとはいえないでしょう。

          余談。誰がどの周波数の割り当てを受けているかというのは、誰の家に電話線が来ているか、といった部類の話ですから通信の内容ではありませんし、通信の秘密とは関係ありません。また、電波法第25条の規定に基づいて総務省 電波利用ホームページ | 無線局情報検索 [soumu.go.jp]で無線局の免許情報が一般に公開されています。

          親コメント
        • by mshynd (31907) on 2008年11月13日 3時19分 (#1454571)
          判例とかあったら教えてください。

          いや、疑ってるんじゃなくて(むしろ常識的に考えてその通りだと思います)、単純に不安なので。
          親コメント
  • by Anonymous Coward on 2008年11月12日 22時32分 (#1454436)
    自ネットワークの専守防衛を諦めて、ダミーの情報を外部に大量に送信して
    偽装工作した方がいいんじゃないのかな?
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...