パスワードを忘れた? アカウント作成
13106151 story
セキュリティ

未だに少なくないユーザーが自宅の無線LANを暗号化していない 68

ストーリー by hylom
一般家庭のセキュリティ対策はまだまだ 部門より

情報処理推進機構(IPA)による「2016年度情報セキュリティに対する意識調査」によると、24.0%のユーザーが自宅の無線LANについて通信の暗号化を行っていないという(INTERNET Watch)。また、暗号化を行っているかどうか分からないというユーザーは31.5%で、暗号化を行っているというユーザーは半数以下だったという。

暗号化を行っていない理由は「対策方法が分からない」(54.0%)、「特に問題が起きていないから」( 25.9%)など。なお、「インターネット利用時の不安要素」でトップは「コンピュータウイルスへの感染」だったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 無線LANの WPA-2 AES は、8文字程度の PSK (事前共有鍵・所謂無線LANの「パスワード」) なら個人が簡単にやれる程度のGPU解析で1日かからず解析可能であり、(通信パケットを家に持ち帰って解析可能なのでターゲットの近くでやる必要もありません)12文字程度でもある程度時間をかければ解析できてしまいます。SSID が default, YBBUser, MyPlace とかだと レインボーテーブル [renderlab.net] が使えるので、更に高速で解析可能です。規格が古いこともあり、PSKのストレッチングが今の時代の標準からすると非常に弱いからです。

    一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] によると、

    • 英語の辞書に載っている単語を使わない
    • 大文字、小文字、数字、記号の全てを含む文字列とする
    • 文字数は最低でも20文字(半角英数字+記号の場合。最大で63文字)

    と、20文字以上の PSK が推奨されています。しかし、PSKを手動設定しているユーザーで、20文字以上にしている人はほとんどいないのではないでしょうか。

    調査 [ipa.go.jp]で「暗号化を行っているかどうか分からない」と答えたユーザーのうち、初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。何故ならば、最近の機種の AOSS で自動設定なら16進数63文字 (8dea085e75bca2f2758d5217c868a18e5f7daab6b342fc6dcaac63f12b8f51d 等) で、7.24e+75 と、手動設定の20文字の英数記号の場合(英26文字×2+数10文字+記号10文字=72文字)の強度 1.40e+37 を遥かに上回っているからです。

    今時のルーターは、わざわざWebブラウザや専用ツールからルーター設定画面にアクセスして設定変更しない限り暗号化無しにはできないので、一般ユーザーに「暗号化設定」をさせるような啓発活動を行うと、せっかく自動設定で強度の高い暗号化がされているのに、"Keisuke@0603" みたいな短時間で解析可能な弱い PSK でそれを上書きしてしまい、かえって危険な状態になりかねません。ただし、古いルーターは Nintendo DS の Wi-Fi コネクション(サービスが終了したので今は必要ない)などに対応させるために自動設定で WEP が使われたり、マルチSSIDでゲーム機ようの穴が空けられてたりすることもあるので、それらの穴を塞ぐ設定をする必要はあります。

    手動で暗号化するなら20文字以上のPSKで、20文字のPSKをスマホなどに入力するのが面倒で現実的でないと考えるならば WPS とか AOSS を使うのが最善かと思います。一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] には「一般家庭ではWPSの使用をお勧めします」と書かれています。

    # なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。

    • 困ったことにiPhoneがWPS対応してないんですよね

      親コメント
      • by Anonymous Coward

        何でWPS対応しないんでしょうね?
        大人の事情?

        • by Anonymous Coward

          iPhone以前にmacもWPSに対応してないですよね?
          代わりのもっと便利な接続手段とか用意してるんでしょうか?
          (iCloudでの設定を共有するにしても、APごとに1回は設定が必要ですし
          MacBookの場合、iCloudから拾ってくるために+1回設定が必要ですし…)

          教えてiPhone/macユーザ!

    • by Anonymous Coward

      ってかSSIDブロードキャストを無効(通称ステルスモ-ド)すると特定の環境下になるととたんに解析しやすくなるので要注意です。

    • by Anonymous Coward

      > 初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。

          鍵長はともかく、AOSSはWPA(TKIP)までにしか対応していないので、普通にWPS使う方がよいと思います。

      > # なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。

          手動設定はデバイスによっては現実的ではない(=ユーザが面倒になって弱いのを設定してしまいやすい)
      ので、次善としてはPIN入力のWPSですね。
      pbcにもガードタイムがあるので、同時に複数のpbc要求があると失敗にする事で乗っ取られにくい様に
      設計されてはいるのですが。

  • 一般家庭でWEPが残っているのは、任天堂DSの通信に対応するために開けて
    その後そのままになってる可能性があるんじゃないかと思う。
    自分や子供が遊ぶために設定してそのまんま、って家庭が結構あるのでは。

    「ニンテンドーDS」が遅らせた無線LANセキュリティの世界
    https://the01.jp/p00075/ [the01.jp]

    ところが、2004年に「惨事」が起きる。それがニンテンドーDSの登場だ。
    DSのウリの1つは無線通信だったが、WPA策定後に発売されたにもかかわらず、
    暗号化方式はWEPにしか対応していなかったのだ。
    近くの機器同士をつなぐアドホック通信だけならまだしも、
    DSは無線LANアクセスポイント(AP、いわゆる親機)を経由して
    インターネット接続ができるようになっていた(これがニンテンドーWi-Fiコネクション)。

    つまり、DSでゲームのネット対戦などをするためには、無線LANAPの暗号化をWEPにするしかない。
    DSでネットを楽しんでいる家庭であれば、そのLANに誰でも侵入し放題という恐ろしいことになる。
    そして不幸なことにDSは大ヒットしてしまう。
    そのため、消えると思われていたWEPのAPが、逆に巷に大増殖するという事態になったのだ。

    デュアルSSIDの機能は現在でもほぼすべてのAPが持っているが、
    ほとんどはWEP側がデフォルトで有効になっている。
    そのため、DSを使っておらず、WPSやAOSSといった簡単接続機能でノートPCやスマホをつなげている場合、
    ユーザーがWEPのAPの存在自体に気づかない可能性があるからだ。
    つまり、知らないままネットに大穴を開けた状態で放置されているAPが多数あるということになる。

    ニンテンドーWi-Fiコネクションの終了により、いずれデフォルトでWEPが有効になっているようなAPは消えていくだろう。
    だが、現在はまだその段階にまで至っておらず、家庭はもちろんのこと、
    オフィスでもいわゆる法人向けではなく、量販店などで購入した無線LAN機器を使っているケースは多いはずだ。
    WEPが有効になっていないか、今一度ぜひ確認してみて頂きたい。

    無線LANルータにWEP設定が未だにデフォルトで残っているのはニンテンドーDSのため(あるいはlogitecgameuserとは何か)
    http://d.hatena.ne.jp/ozuma/20130629/1372477017 [hatena.ne.jp]

    初代ニンテンドーDSは、無線LANの暗号化形式はWEPしかサポートしていなかった。
    この仕様は今でも尾を引いており、本体側がWPA2に対応している3DSなどでも、
    古いDS用ゲームソフトで遊ぶ場合にはWEPしかサポートされていない。
    だから、ゲーム機本体がDSiや3DSでも、DS用ゲームソフトで遊ぼうとするとWPA2-PSK(AES)で接続することはできず、
    WEPを使うしかないのだ(なんてこった)。
    WEPしか使えないゲームとしては、ドラクエ9が有名な例だろう。

    --
    --------------------
    /* SHADOWFIRE */
  • 分からない=してある (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2016年12月26日 16時01分 (#3135725)

    今時のアクセスポイントなら、何も考えずに暗号化を解除して使うのは難しいんじゃないかなぁ…。
    買って来てそのまま使っている=暗号化してある、と言うのを知らず、難しいことはやっていない=暗号化していない、と答えちゃう奴が多そう。

    • by Anonymous Coward
      今時っていうか 5年ぐらい前でも普通の買ってきたものだと、暗号化しないで使うほうが手間がかかるよね。
      ルータにもよるけど、WEBの設定画面からでは暗号化なしの設定が選べないのもある。(ssh で入って設定ファイル書き換えればOPEN設定にもできる)
      • by Anonymous Coward

        しかしSSIDもデフォルトの設定値でブロードキャストされているので
        「あー、買ってきたまま何も変えずに使っているな」というのがもろわかりで、
        デフォルトSSIDから製品をググって、メーカーのオンラインマニュアルでも見つかればれば、
        そこからデフォルトパスワードを得て入り込めてしまうという、
        あまり暗号化を有効にしていても意味がない状態といえる。

        • by Anonymous Coward on 2016年12月26日 17時31分 (#3135792)
          少なくともバッファローやら IOデータ、NEC あたり(おそらく他のメーカーも同様)のルータは、個体ごとに SSID も暗号キーも違いますから、意味はありますね。
          まぁ、管理者パスワードは製品によっては個体間共通だったりするので、物理接触できれば有線LANの口から管理画面には入れるでしょうけど。家の中まで入れるならもっと色々手はありますね。

          NEC は初期設定時にパスワードを設定することになってるので、管理者パスワードのデフォルト値ってのも無いですが。
          こないだ話題になった Netgear 製品は、管理画面のデフォルトパスワードも個体ごとに違ってますね。
          親コメント
    • by Anonymous Coward

      簡単設定の類って、暗号化しているしね。

  • >なお、「インターネット利用時の不安要素」でトップは「コンピュータウイルスへの感染」だったという。

    暗号化すると感染しなくなるの?

    • by Anonymous Coward on 2016年12月26日 17時10分 (#3135782)

      >> なお、「インターネット利用時の不安要素」でトップは「コンピュータウイルスへの感染」だったという。

      > 暗号化すると感染しなくなるの?

      いいえ、感染することで暗号化できます

      # 節子、それ(ry

      親コメント
    • 同じブロードキャストにローグなコンピュータがいるかもってのは、より危険ですよね。

      親コメント
      • by Anonymous Coward

        同じブロードキャストにローグなコンピュータがいるかもってのは、より危険ですよね。

        それは暗号化しなくても防げるし、暗号化しても可能なのでは?

        • リスクは減りますよねって話かと。

          玄関に鍵をかけていても泥棒に入られるときは入られますが
          鍵をかけていないときに比べれば、より入られにくくはなると思います。
          親コメント
          • by Anonymous Coward on 2016年12月26日 19時28分 (#3135840)

            9条信者「守ろうとすると相手はもっとすごい武器を持ってくる。だから守っちゃダメ。」

            親コメント
            • by Anonymous Coward

              9条信者「大勢の日本人が死んだのに、負けた責任を誰も取らない国軍なんてイラネ」
              なのでは?

              • by Anonymous Coward

                つまり責任を取ってもっと沢山死ぬべきだったということですね。
                開戦に当たっては国民の支持もかなりあったはずなので。

                軍民合わせて300万程度しか死んでないし、ドイツを見習うべきだね。

              • by Anonymous Coward

                「海軍反省会」なんか見てると、せめて死んで詫びろ、くらいは思うな
                戦犯で裁かれたのは主に軍政部門で、戦争を主導した軍令部門の連中は殆ど生き残ったし
                服部卓四郎主導の自衛隊ができなかったのはせめてもの救いかな

    • by Anonymous Coward on 2016年12月26日 16時38分 (#3135760)

      WiFiの調査ではなくセキュリティの意識調査であって、WiFiはその項目の1つなので、「インターネット利用時の不安」と「WiFiの暗号化」の話は直接関連しない別々の調査項目です。

      親コメント
    • by Anonymous Coward on 2016年12月26日 16時34分 (#3135756)

      LAN内の1台がウィルスに感染、その1台がARPポイゾニングで他のコンピュータからのhttp通信を全て自分経由にした上でページを書き換え、
      そのLAN内ではhttpでどのページを見ても汚染されてる、ってな話はよく聞いたパターンなので、LAN内で勝手されるのはそれなりにリスキー。

      スマホやらの家の外でも使う機械で言えば、そもそも行きずりの無料Wi-Fiアクセスポイントの類がまともかどうかを判断する手段はないから、
      スマホから外へ出る通信の全てをhttpsなりで暗号化しておいた方が良いけど。

      親コメント
    • by Anonymous Coward on 2016年12月26日 16時36分 (#3135759)

      なんでこいつは無関係の二つの設問の回答を結び付けてんの?

      親コメント
      • by Anonymous Coward

        なんでこいつは無関係の二つの設問の回答を結び付けてんの?

        ストーリーに書いてあるから突っ込んでるんだと思われ。
        無関係だろ?って突込みにしか見えない。

      • by Anonymous Coward

        なんでこいつは無関係の二つの設問の回答を結び付けてんの?

        そう無関係かな?
        無理に結びつけるのがアレゲでおもしろいが

        アレゲじゃない人にはわからないか。

    • そうじゃない。
      大多数のユーザーのリテラシーは「ウィルスは怖い」「ネットに侵入されるなんてことは思いつきもしない」ってことを言ってるんだよ。

      親コメント
  • by Anonymous Coward on 2016年12月26日 16時12分 (#3135737)

    普通に設定すればなにかしら暗号化自体はやってるものじゃないだろうか?
    逆にあえて暗号化をしないように設定したかどうかを聞いてみよう

    • by Anonymous Coward

      インターネッツには「各社ルーターのデフォルトパスワード一覧」というものがあってだね

      スマフォアプリもあるよ

  • 「うちのインターネット、ちゃんと暗号化できてるの!」的な感じで、身内&お友達サポートやってる皆様はますます大変になりそうっすね。
    設定がどうのこうよりも、セキュリティ面で何かあったときに説明求められたり責任押っ被せられたりとかで…。

    • by Anonymous Coward

      サポートなんてやらなきゃいいよ。
      PCデポ紹介して終わりだろJK。

  • by Anonymous Coward on 2016年12月26日 16時04分 (#3135727)

    通信の暗号化を行っていない家庭内向け無線LANって、実際は何%なんでしょう?
    WEP率の調査なんかはでてくるんだが

    • by Anonymous Coward

      24%もいたら、同じアパート内に1人くらいいてもおかしくないけど……。
      自分の住んでるとこにはいないなぁ。

      • 我が家(アパートの一室)から拾えるWi-Fiが14ほどありますが(2.4GHzと5GHz両方出してるやつはあわせて1つとカウント)
        FON_FREE_INTERNETが1つ、本気のノーガード戦法はゼロ。実にセキュアなアパートだ。住人は皆IT技術者にちがいない。

        親コメント
        • by Anonymous Coward

          うちもオープンは0で似た状況ですね。

          イブは全部の部屋の室内灯がついていて静かだったので住民は全員IT技術者・・・と思ったけどIT技術者は仕事してるよな。

          • by Anonymous Coward

            おうちから仕事場へVPNが捗ること捗ることorz

  • by Anonymous Coward on 2016年12月26日 16時27分 (#3135752)

    他コメにもあるけど、メジャーどころ買ってきてデフォはAOSSやらなんやらで
    WEPもかかっていないopenにはならないと思う
    マイナーな無線親機(それこそdd-wrtやらなんやら)を意識的に設定しないと
    実際、ウォードライブしてみてもopenになっているのは20%ってことは
    5台に1台はopenだということだけどそんなことないし
    一体どうやった統計なのか疑問が残る
    # IPA、大丈夫なのかお前

  • by Anonymous Coward on 2016年12月26日 16時43分 (#3135767)

    今はデフォルト暗号化なんだし。

    以前、暗号化どころかAPの管理画面にノーパスワードで入れるAPを見たことがあるんだけど、これは管理もやってくれというつもりなのかと悩んだ。

  • by Anonymous Coward on 2016年12月26日 17時44分 (#3135795)

    田舎で隣が100m位上離れているためノーガードのWifi見つけることができない

    • by Anonymous Coward

      うちは隣のAPが見えるなあ…。と思ったら55mしか離れていなかった。
      田舎度が足りなかったか…。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...