未だに少なくないユーザーが自宅の無線LANを暗号化していない 68
ストーリー by hylom
一般家庭のセキュリティ対策はまだまだ 部門より
一般家庭のセキュリティ対策はまだまだ 部門より
情報処理推進機構(IPA)による「2016年度情報セキュリティに対する意識調査」によると、24.0%のユーザーが自宅の無線LANについて通信の暗号化を行っていないという(INTERNET Watch)。また、暗号化を行っているかどうか分からないというユーザーは31.5%で、暗号化を行っているというユーザーは半数以下だったという。
暗号化を行っていない理由は「対策方法が分からない」(54.0%)、「特に問題が起きていないから」( 25.9%)など。なお、「インターネット利用時の不安要素」でトップは「コンピュータウイルスへの感染」だったという。
AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:5, 参考になる)
無線LANの WPA-2 AES は、8文字程度の PSK (事前共有鍵・所謂無線LANの「パスワード」) なら個人が簡単にやれる程度のGPU解析で1日かからず解析可能であり、(通信パケットを家に持ち帰って解析可能なのでターゲットの近くでやる必要もありません)12文字程度でもある程度時間をかければ解析できてしまいます。SSID が default, YBBUser, MyPlace とかだと レインボーテーブル [renderlab.net] が使えるので、更に高速で解析可能です。規格が古いこともあり、PSKのストレッチングが今の時代の標準からすると非常に弱いからです。
一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] によると、
と、20文字以上の PSK が推奨されています。しかし、PSKを手動設定しているユーザーで、20文字以上にしている人はほとんどいないのではないでしょうか。
調査 [ipa.go.jp]で「暗号化を行っているかどうか分からない」と答えたユーザーのうち、初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。何故ならば、最近の機種の AOSS で自動設定なら16進数63文字 (8dea085e75bca2f2758d5217c868a18e5f7daab6b342fc6dcaac63f12b8f51d 等) で、7.24e+75 と、手動設定の20文字の英数記号の場合(英26文字×2+数10文字+記号10文字=72文字)の強度 1.40e+37 を遥かに上回っているからです。
今時のルーターは、わざわざWebブラウザや専用ツールからルーター設定画面にアクセスして設定変更しない限り暗号化無しにはできないので、一般ユーザーに「暗号化設定」をさせるような啓発活動を行うと、せっかく自動設定で強度の高い暗号化がされているのに、"Keisuke@0603" みたいな短時間で解析可能な弱い PSK でそれを上書きしてしまい、かえって危険な状態になりかねません。ただし、古いルーターは Nintendo DS の Wi-Fi コネクション(サービスが終了したので今は必要ない)などに対応させるために自動設定で WEP が使われたり、マルチSSIDでゲーム機ようの穴が空けられてたりすることもあるので、それらの穴を塞ぐ設定をする必要はあります。
手動で暗号化するなら20文字以上のPSKで、20文字のPSKをスマホなどに入力するのが面倒で現実的でないと考えるならば WPS とか AOSS を使うのが最善かと思います。一般家庭における無線LANのセキュリティに関する注意 [ipa.go.jp] には「一般家庭ではWPSの使用をお勧めします」と書かれています。
# なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。
Re:AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:3)
困ったことにiPhoneがWPS対応してないんですよね
Re: (スコア:0)
何でWPS対応しないんでしょうね?
大人の事情?
Re: (スコア:0)
iPhone以前にmacもWPSに対応してないですよね?
代わりのもっと便利な接続手段とか用意してるんでしょうか?
(iCloudでの設定を共有するにしても、APごとに1回は設定が必要ですし
MacBookの場合、iCloudから拾ってくるために+1回設定が必要ですし…)
教えてiPhone/macユーザ!
Re: (スコア:0)
ってかSSIDブロードキャストを無効(通称ステルスモ-ド)すると特定の環境下になるととたんに解析しやすくなるので要注意です。
Re: (スコア:0)
> 初回接続時の行動で「マニュアルに従い、AOSSと書かれたボタンを押して接続した」を選択したユーザーについては、手動で暗号化設定をした人よりも安全性が高いと言えます。
鍵長はともかく、AOSSはWPA(TKIP)までにしか対応していないので、普通にWPS使う方がよいと思います。
> # なお、より高度なセキュリティを求める場合は、WPS は初回設定時の鍵交換セッション時(WPSボタンを押すとき)に近くに居る悪意のある第三者がいると危険なため、強度のある PSK を手動設定した方がより安全です。
手動設定はデバイスによっては現実的ではない(=ユーザが面倒になって弱いのを設定してしまいやすい)
ので、次善としてはPIN入力のWPSですね。
pbcにもガードタイムがあるので、同時に複数のpbc要求があると失敗にする事で乗っ取られにくい様に
設計されてはいるのですが。
9年以上前の機種でも AOSS は AES 対応ですよ (スコア:2)
例えば、2007年8月上旬発売の バッファロー Wi-Fi Gamers WCA-G [buffalo.jp] という機種でも、スクリーンショット (左上に型番の WCA-G が表示されている) [webry.info] を見ていただければ分かるように AOSS 動作設定として AES (WPA-PSK-AES) に対応しています。
9年前当時の機種ではデフォルト設定はAESでなかったかもしれませんが、少なくともここ数年はデフォルトもAESだったと思います。
第三者に不正利用されるリスク & イントラネット扱いになるリスク (スコア:2)
通信を全て HTTPS などで暗号化していても、無線LANが不正利用されると危険があります。
無線LANの暗号化は、通信内容を傍受されないようにする効果だけでなく、第三者の不正利用を防ぐ効果があるのです。
Re:AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:2)
自宅のIP対応機器が危険に晒されるのは確かに困りますけど、自宅のネットワークを自由に使われる事による最大の問題は、犯罪に使われた場合に捜査協力求められるだろうし、最悪の場合、自分に嫌疑が掛かるという点じゃないでしょうか?
ひょっとすると、実は犯罪をやってるのは自分でその言い逃れのために穴開けてるという特殊ケースはあるかもしれませんけどね。
自分で管理できていない WiFi については、たとえ DNS や IP ルーティングが書き換えられている場合であっても、問題があれば公開鍵証明書の検証で警告やエラーが出るため、公開鍵証明書の検証が成功している限りは HTTPS だと問題は生じ得ないはずです。
uxi
Re:AES でも強度が低いと短時間で解析可能なので WPS を推奨 (スコア:2)
検証成功しているのに中間者攻撃出来るのケースを示せるんですか?
自分のPCが汚染済みか、CAの秘密鍵がバレるかのどちらかの場合しかないでしょ?
uxi
DS時代の設定のまま使ってる? (スコア:3)
一般家庭でWEPが残っているのは、任天堂DSの通信に対応するために開けて
その後そのままになってる可能性があるんじゃないかと思う。
自分や子供が遊ぶために設定してそのまんま、って家庭が結構あるのでは。
「ニンテンドーDS」が遅らせた無線LANセキュリティの世界
https://the01.jp/p00075/ [the01.jp]
無線LANルータにWEP設定が未だにデフォルトで残っているのはニンテンドーDSのため(あるいはlogitecgameuserとは何か)
http://d.hatena.ne.jp/ozuma/20130629/1372477017 [hatena.ne.jp]
--------------------
/* SHADOWFIRE */
Re: (スコア:0)
WEPも一応暗号ですよね?
WEPが危険というのは別の話
Re:DS時代の設定のまま使ってる? (スコア:2)
トピックのリンク先にある
に関するコメントです。
--------------------
/* SHADOWFIRE */
分からない=してある (スコア:2, すばらしい洞察)
今時のアクセスポイントなら、何も考えずに暗号化を解除して使うのは難しいんじゃないかなぁ…。
買って来てそのまま使っている=暗号化してある、と言うのを知らず、難しいことはやっていない=暗号化していない、と答えちゃう奴が多そう。
Re: (スコア:0)
ルータにもよるけど、WEBの設定画面からでは暗号化なしの設定が選べないのもある。(ssh で入って設定ファイル書き換えればOPEN設定にもできる)
Re: (スコア:0)
しかしSSIDもデフォルトの設定値でブロードキャストされているので
「あー、買ってきたまま何も変えずに使っているな」というのがもろわかりで、
デフォルトSSIDから製品をググって、メーカーのオンラインマニュアルでも見つかればれば、
そこからデフォルトパスワードを得て入り込めてしまうという、
あまり暗号化を有効にしていても意味がない状態といえる。
Re:分からない=してある (スコア:1)
まぁ、管理者パスワードは製品によっては個体間共通だったりするので、物理接触できれば有線LANの口から管理画面には入れるでしょうけど。家の中まで入れるならもっと色々手はありますね。
NEC は初期設定時にパスワードを設定することになってるので、管理者パスワードのデフォルト値ってのも無いですが。
こないだ話題になった Netgear 製品は、管理画面のデフォルトパスワードも個体ごとに違ってますね。
Re: (スコア:0)
まあ世の中そういう製品ばかりでもない [planex.co.jp]ということで。
Re: (スコア:0)
キーの長さは、数年前のNECのものだと13文字の英数字でした。記号は無しだったので、いくつかつけ加えて使用中。
Re: (スコア:0)
簡単設定の類って、暗号化しているしね。
コンピュータウイルスへの感染 (スコア:1)
>なお、「インターネット利用時の不安要素」でトップは「コンピュータウイルスへの感染」だったという。
暗号化すると感染しなくなるの?
Re:コンピュータウイルスへの感染 (スコア:5, おもしろおかしい)
>> なお、「インターネット利用時の不安要素」でトップは「コンピュータウイルスへの感染」だったという。
> 暗号化すると感染しなくなるの?
いいえ、感染することで暗号化できます
# 節子、それ(ry
Re:コンピュータウイルスへの感染 (スコア:2)
同じブロードキャストにローグなコンピュータがいるかもってのは、より危険ですよね。
Re: (スコア:0)
同じブロードキャストにローグなコンピュータがいるかもってのは、より危険ですよね。
それは暗号化しなくても防げるし、暗号化しても可能なのでは?
Re:コンピュータウイルスへの感染 (スコア:1)
玄関に鍵をかけていても泥棒に入られるときは入られますが
鍵をかけていないときに比べれば、より入られにくくはなると思います。
Re:コンピュータウイルスへの感染 (スコア:4, おもしろおかしい)
9条信者「守ろうとすると相手はもっとすごい武器を持ってくる。だから守っちゃダメ。」
Re: (スコア:0)
9条信者「大勢の日本人が死んだのに、負けた責任を誰も取らない国軍なんてイラネ」
なのでは?
Re: (スコア:0)
つまり責任を取ってもっと沢山死ぬべきだったということですね。
開戦に当たっては国民の支持もかなりあったはずなので。
軍民合わせて300万程度しか死んでないし、ドイツを見習うべきだね。
Re: (スコア:0)
「海軍反省会」なんか見てると、せめて死んで詫びろ、くらいは思うな
戦犯で裁かれたのは主に軍政部門で、戦争を主導した軍令部門の連中は殆ど生き残ったし
服部卓四郎主導の自衛隊ができなかったのはせめてもの救いかな
Re:コンピュータウイルスへの感染 (スコア:2, 参考になる)
WiFiの調査ではなくセキュリティの意識調査であって、WiFiはその項目の1つなので、「インターネット利用時の不安」と「WiFiの暗号化」の話は直接関連しない別々の調査項目です。
Re:コンピュータウイルスへの感染 (スコア:1)
ああ、完全に別項目なんですね。
てっきりインターネットからのウイルス侵入怖いと言いながら、ローカルの無線ガバガバじゃねーか、という流れでも表現したいのかと思ってました。
Re:コンピュータウイルスへの感染 (スコア:1)
LAN内の1台がウィルスに感染、その1台がARPポイゾニングで他のコンピュータからのhttp通信を全て自分経由にした上でページを書き換え、
そのLAN内ではhttpでどのページを見ても汚染されてる、ってな話はよく聞いたパターンなので、LAN内で勝手されるのはそれなりにリスキー。
スマホやらの家の外でも使う機械で言えば、そもそも行きずりの無料Wi-Fiアクセスポイントの類がまともかどうかを判断する手段はないから、
スマホから外へ出る通信の全てをhttpsなりで暗号化しておいた方が良いけど。
Re:コンピュータウイルスへの感染 (スコア:1)
なんでこいつは無関係の二つの設問の回答を結び付けてんの?
Re: (スコア:0)
なんでこいつは無関係の二つの設問の回答を結び付けてんの?
ストーリーに書いてあるから突っ込んでるんだと思われ。
無関係だろ?って突込みにしか見えない。
Re: (スコア:0)
なんでこいつは無関係の二つの設問の回答を結び付けてんの?
そう無関係かな?
無理に結びつけるのがアレゲでおもしろいが
アレゲじゃない人にはわからないか。
Re:コンピュータウイルスへの感染 (スコア:1)
そうじゃない。
大多数のユーザーのリテラシーは「ウィルスは怖い」「ネットに侵入されるなんてことは思いつきもしない」ってことを言ってるんだよ。
逆を聞こう (スコア:1)
普通に設定すればなにかしら暗号化自体はやってるものじゃないだろうか?
逆にあえて暗号化をしないように設定したかどうかを聞いてみよう
Re: (スコア:0)
インターネッツには「各社ルーターのデフォルトパスワード一覧」というものがあってだね
スマフォアプリもあるよ
さぽーと地獄 (スコア:1)
「うちのインターネット、ちゃんと暗号化できてるの!」的な感じで、身内&お友達サポートやってる皆様はますます大変になりそうっすね。
設定がどうのこうよりも、セキュリティ面で何かあったときに説明求められたり責任押っ被せられたりとかで…。
Re: (スコア:0)
サポートなんてやらなきゃいいよ。
PCデポ紹介して終わりだろJK。
意識調査だからなぁ (スコア:0)
通信の暗号化を行っていない家庭内向け無線LANって、実際は何%なんでしょう?
WEP率の調査なんかはでてくるんだが
Re: (スコア:0)
24%もいたら、同じアパート内に1人くらいいてもおかしくないけど……。
自分の住んでるとこにはいないなぁ。
Re:意識調査だからなぁ (スコア:3)
我が家(アパートの一室)から拾えるWi-Fiが14ほどありますが(2.4GHzと5GHz両方出してるやつはあわせて1つとカウント)
FON_FREE_INTERNETが1つ、本気のノーガード戦法はゼロ。実にセキュアなアパートだ。住人は皆IT技術者にちがいない。
Re: (スコア:0)
うちもオープンは0で似た状況ですね。
イブは全部の部屋の室内灯がついていて静かだったので住民は全員IT技術者・・・と思ったけどIT技術者は仕事してるよな。
Re: (スコア:0)
おうちから仕事場へVPNが捗ること捗ることorz
暗号化した記憶がないから暗号化していない? (スコア:0)
他コメにもあるけど、メジャーどころ買ってきてデフォはAOSSやらなんやらで
WEPもかかっていないopenにはならないと思う
マイナーな無線親機(それこそdd-wrtやらなんやら)を意識的に設定しないと
実際、ウォードライブしてみてもopenになっているのは20%ってことは
5台に1台はopenだということだけどそんなことないし
一体どうやった統計なのか疑問が残る
# IPA、大丈夫なのかお前
Re:暗号化した記憶がないから暗号化していない? (スコア:1)
調査票を見ましょうね。二次、三次の報道で判断しないようにしましょう。
古いAPじゃなきゃ無理でしょ (スコア:0)
今はデフォルト暗号化なんだし。
以前、暗号化どころかAPの管理画面にノーパスワードで入れるAPを見たことがあるんだけど、これは管理もやってくれというつもりなのかと悩んだ。
自宅近くはものすごくセキュリティーが高い (スコア:0)
田舎で隣が100m位上離れているためノーガードのWifi見つけることができない
Re: (スコア:0)
うちは隣のAPが見えるなあ…。と思ったら55mしか離れていなかった。
田舎度が足りなかったか…。