パスワードを忘れた? アカウント作成
13320188 story
お金

英国人の過半数が無料Wi-Fiのセキュリティを懸念する一方、7人に1人は使えるなら何でも使うとの調査結果 50

ストーリー by headless
無料 部門より
サンタンデール銀行が英国の成人を対象に実施したWi-Fiに関する調査によると、52%が暗号化されていないWi-Fiネットワークのセキュリティを懸念する一方で、14%がWi-Fiを無料で拝借しているそうだ(ニュースリリースBetaNewsの記事)。

調査は5月から6月にマーケットリサーチ企業Opiniumを通じてオンラインで実施されたもので、英成人の構成比を反映した2,005人が回答したとのこと。英成人の14%は約719万人に相当する。

許可の有無にかかわらず隣人のWi-Fiを拝借している回答者は5%、18歳~34歳では14%にのぼる。また、無料Wi-Fiを提供するカフェやショップに行き、何か注文したり購入したりせずにWi-Fiだけを使う人も5%(18歳~34歳では11%)、3%は初めて見るオープンWi-Fiでも利用するという。

空港や店舗などで提供されるWi-Fiのセキュリティを懸念する52%(ロンドン限定では60%)のうち、17%はソーシャルメディアのチェックやクーポンのダウンロードに必要なら利用すると回答し、19%は仕事でも利用していると回答。さらに、オンラインバンキングなどで暗号化されていないWi-Fiを使用するとの回答も26%(18歳~34歳では49%)にのぼったとのこと。

英国ではこの10年間で携帯電話やブロードバンドへの支払額が24%増加しているそうだ。月間のデータ上限を超えて利用する人は30%、6%はデータ上限を毎月超えるという。そのため毎月の通信料金は、セキュリティを上回る懸念事項になっているようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hinatan (24342) on 2017年06月25日 20時49分 (#3233886)

    「セキュリティの懸念」っていうけれど「遺伝子組み換え野菜への懸念」程度のモヤッっとしたものでは? なんとなく危ないんちがうか?程度で実際的な被害があるのか明確になってません。

    >暗号化されていないWi-Fiネットワークのセキュリティを懸念」

    ここに注目して話をするのですが、IPレイヤでの個別の通信の暗号化が進んでいるので何が危ないのかな? と。

    昔、第一に心配したのはSMBによる共有ですが、それは非Windowsでは関係がない上、今は暗号化されたSMB3.11ですよね。さらにいうと最近の人って SMB共有って使ってる人いるんでしょうか・・。

    >オンラインバンキングなどで暗号化されていないWi-Fiを使用する
    同じセグメントの人は誰がどの銀行にアクセスしているかはわかっても取引内容まではわからない・。
    一昔前はメールの内容が筒抜けになりましたが、今は一般ユーザは Web APIベースの物を知らずに使っているでしょう。
    DHCPがのっとられても SSL は危険に気づいてくれる。

    完全に安全とは言えませんが、そうでないならこの時代にまだ具体的にどういった環境で何が危ないのか興味があるので知りたいなと思いました。例として、いまだに 生POP使っている人とか。

    他スレのコメントを例に使わせていただくと:
    >仕事の文書のクラウド共有や調べ物をする悪習慣が広がってしまっています
    調べものしても検索キーは分かりませんし、共有しているファイルは読めませんよね。わかるのは「あ・・(nslookup..)、この人 A社ドメインのサーバにつないでいるからそこの社員かな?」「おっ。IPで開くだけで社内システムのログイン画面が出てきた。外に晒しているのか。」ここまでは出来るでしょうね。探偵さんには意味はあるかもしれませんが、元からInternetに晒しているサーバは危ないです。
    セグメントの端末すべてについてポートスキャンすると何か見つかるかもしれませんが 一般ユーザのデバイスで openにlistenしているようなものがあるのかしら?

    • by Anonymous Coward on 2017年06月25日 21時36分 (#3233901)

      以下セキュリティ被害の出る一例
      Unicodeによる悪意あるURL目視判断阻止行為は、実際にここでやるとまずいと思うのでそこは説明文記載にしておきます

      ・あなたはコーヒーショップやバーガーショップで 「暗号化なし」や「WEP」で動作しているAPに接続してmacbookでどや顔しています

      ・あなたのWEP暗号化は周囲の悪意あるものから1分程度ですでに破られています(暗号化なしなら最初から丸見え)

      ・あなたはamazon.co.jpを見ようと思い、http://から始まるURLを表示するようブラウザに指示しました

      ・あなたが操作した結果発生するDNS名前解決要求に、悪意あるものは本来のDNSサーバより先に悪意あるサイトのIPを返しました

      ・あなたのブラウザは、悪意あるものが示したIPに接続します。ここで悪意あるページ上のスクリプトにより、
      ブラウザは「amazon.co.jp」ではなく悪意ある(Unicodeを駆使し目視ではまったく判別がつかない)「amazon.co.jp」を表示し、
      すぐさま「https://から始まる、悪意あるamazon.co.jpのログインページ」を表示します

      ここで、「悪意あるamazon.co.jp」が表示するログインページの内容は、「本物のamazon.co.jpのログイン画面と全く同じ画面」です

      ・「悪意あるamazon.co.jp」には正式な「悪意あるamazon.co.jpとしてのSSL証明書」が存在するため、ブラウザはこのサイトが正当なサイトだとお墨付きを与えて表示します

      ・この状態で「amazon.co.jp」のユーザ名/パスワードを入力したら即アウト!!

      上記は仮にamazon.co.jpを例にしましたが、現実にはhttp://のURLを持つすべてのサイトで上記のような影響を受けうる可能性があります
      http:/// [http]から始まる www.google.co.jp などのURLを使った場合には検索条件が盗聴されるうえに検索結果のすべてが汚染されて表示される可能性もあります

      悪意ある行為を受け始めた時点での回避策:

      もっとも最初のブラウザからのアクセスにおいて、必ずhttpではなくhttpsのURLを開く(絶対死守)。さらにhttpsのページからhttpのページへのリダイレクトは警告するブラウザ設定とし(絶対死守)、この警告を絶対に軽視せず警告が出た時点で悪意ある行為にさらされていると判断し速やかに切断する(絶対死守)

      ブラウザ以外のアプリすべてにおいて、上記のような動作をしないアプリがないかを常に確認し、上記のような動作をしないアプリは一切使わない(絶対死守)

        -> で、そんなの理解してる一般人はどのくらいいます?

      親コメント
      • by Anonymous Coward on 2017年06月25日 22時23分 (#3233924)

        amazonはPreloaded HSTSに登録されているので例えとして適切ではないな
        ・あなたはamazon.co.jpを見ようと思い、http://から始まるURLを表示するようブラウザに指示しました
        この時点でブラウザがhttps://amazon.co.jpへ自動的にリダイレクトします
        というわけで一般人は何も考えなくてもセキュアにamazonを利用できるというわけだ

        親コメント
      • by Anonymous Coward on 2017年06月25日 22時20分 (#3233922)

        書いてあることに基本的には同意ですけど、今はHSTSやHSTSプリロードがあるので、

        もっとも最初のブラウザからのアクセスにおいて、必ずhttpではなくhttpsのURLを開く(絶対死守)。

        は絶対死守でもないでしょう。

        一般人なら、アドレスバーにURLを入力するなんて滅多にやらないと思います。ググったり、せいせいブックマークからのアクセスでしょう。グーグルなら、当然HSTSプリロードに入っているし、ブックマークならちゃんとhttpsのURLになっていれば良いわけです。

        というわけで、みんなHTTPSに移行して、さらにHSTSなりHSTSプリロードに対応していけば、ウェブについては最低限安全が保たれると言って良いのではないでしょうか。

        ブラウザは「amazon.co.jp」ではなく悪意ある(Unicodeを駆使し目視ではまったく判別がつかない)「amazon.co.jp」を表示し、

        今時のウェブブラウザでは、Unicodeの微妙な記号を使うとPunycodeをデコードせずxy--で始まる生の表記になるようです。詳しい人間ならアドレスバーで見分けられると思います。

        親コメント
        • by Anonymous Coward

          > というわけで、みんなHTTPSに移行して、さらにHSTSなりHSTSプリロードに対応していけば、
          > ウェブについては最低限安全が保たれると言って良いのではないでしょうか。
          > 詳しい人間ならアドレスバーで見分けられると思います。

          現在の一般人向けのセキュリティの話において、自論に都合のいい未来での話をされても
          また繰り返しになりますが
          「公衆WIFIを喜んで使う一般人のレベル」で話をしないと意味がないと思いますよ

          • by Anonymous Coward

            たしかに、「みんなHTTPSに移行して~」は(来るかどうか分からない)未来の話です。でも、Amazonみたいな、パスワードなどで機密情報を扱い、一般人が使うほど知名度があるサービスなら、もうみんなHTTPSに移行していて、ある程度は現在でも通用する話だと思ったのですが、甘く考え過ぎでしたでしょうか?

            「詳しい人間ならアドレスバーで見分けられると思います。」と書いたほうはまた別の話で、未来永劫すべての一般人にこの方法を普及させるのは無理だと思っているから、「詳しい人間なら」と前置きしました。

            • by Anonymous Coward on 2017年06月26日 2時24分 (#3233984)

              一般人は、HTTPかHTTPSかなんて一切気にしないっつーかそもそもURLなんて見ていない。
              アマゾンって書いてあるんだからアマゾンなんだろって程度。

              マイクロソフトなんちゃら~って偽セキュリティ広告を鵜呑みにしてマルウェアインストールし、
              「マイクロソフトっていってるんだから偽物のわけがない」
              と宣うのが一般人ですよ。いやマジで。
              たとえ理系でも情報系に興味ない人ならその程度。

              親コメント
          • by Anonymous Coward

            一般人はWindows 10とかmacOS Sierra以上でEdgeとかSafariを使うでしょ? どっちもHSTSにもcertificate pinningにも対応してるよ。
            Windows 8とかMac OS X Mavericksのような古いOSを排除するのは管理者の義務だよ。

            • by Anonymous Coward

              > Windows 8とかMac OS X Mavericksのような古いOSを排除するのは管理者の義務だよ。

              そういうのはさんざんWindows10ネガキャンして移行を阻止しているアンチMSの方々に言ってください

    • by Anonymous Coward on 2017年06月25日 21時00分 (#3233887)

      偽APに引っかかってる場合などではDNSまで悪意あるものになります
      ここで一般人がDNSまで悪意あるとした場合に正しくその異常性を把握し回避行為を取るのは現実的に無理です

      また、経路上で介入される場合はたとえ正しくSSL処理がされていてもクッキーは改ざんされます
      ここを知らない人はとても多いです

      さらに、ルーター自体が悪意あるものであればそこから直接、
      そうでなくとも暗号化の部分がそもそもない/クラックされたら
      近隣のwifiクライアント端末から飛び込みで
      悪意のあるパケットがバンバン飛び込む状況となります
      もちろん盗聴もされます

      親コメント
      • >ここで一般人がDNSまで悪意あるとした場合に
        この場合、(ブラウザ等による)証明書のエラーが出ませんか。

        >正しくSSL処理がされていてもクッキーは改ざんされます
        この正しく処理というのは、証明書のエラーも出ない状況でしょうか。

        確かに AP自体が偽物だと危険度はぐっと上がりそうですが

        >悪意のあるパケットがバンバン飛び込む状況となります
         これはブロックされるし、

        >もちろん盗聴もされます
            IPヘッダは読めてもペイロードは復号できませんよね。
        (全くトンチンカンな事を言ってたら恥ずかしい限りですが)

        親コメント
        • 一般人にとっては証明書のエラーなど無視一択かと。

          親コメント
        • by Anonymous Coward on 2017年06月25日 22時10分 (#3233917)

          #3233901 に半分くらいのことが書いてあるのでそちらを参照
          残り

          > この正しく処理というのは、証明書のエラーも出ない状況でしょうか。
          SSL上でもクッキーが改ざんされるという件では、証明書エラーは出ません

          > IPヘッダは読めてもペイロードは復号できませんよね。
          安全にVPN経路が結ばれたあとの話、かつVPN経路上の通信だけに限定すればそうなります(VPN自体の強度は別の話)が、
          VPN経路を結ぶ前の時点ですでにセキュリティリスクがあること、
          VPN経路を結んだあとでも、多くの場合はVPNを通さない通信も許可されることなどの考慮が必要です

          例:社員をVPN接続させるサービスにおいて、
          クライアントPCのすべての通信をVPN経由にさせる設定とすると
          クライアントPC上のブラウザの通信とかメーラとかWindowsUpdateとかも全部VPN経由で自社ネットワークを通る高負荷構成になる
          対策としてVPNを通すのはあくまでも自社VPN(のGWサーバのIP)向けの通信にだけ限定するなど

          親コメント
      • by Anonymous Coward

        また、経路上で介入される場合はたとえ正しくSSL処理がされていてもクッキーは改ざんされます
        ここを知らない人はとても多いです

        「正しくSSL処理してても(上位レイヤの)クッキーを改ざんできる」とは、画期的なことかもしれぬ。
        詳細キボンヌ。

        # MITM 攻撃のことを言っているのかもしれんけど、それは証明書チェーンが汚染されていることが
        # 前提なので、「正しくSSL処理されている」とは言わんし。

        • by Anonymous Coward

          「SSL クッキー 改ざん」でググってみてください
          secure属性を指定しても改変はされ、secure属性を指定しない場合さらに盗聴もされます

          ここで残念なことですが、
          secure属性をつけていても改ざんされるということを知らないままWebに公開するサイト/サービスを構築している例は非常に多いです

          • by Anonymous Coward on 2017年06月25日 22時10分 (#3233918)

            親ACです。
            徳丸せんせいのページを見てみました。
            何が言いたいのか、大体理解したつもりです。画期的という感じではないですが。

            経路上のルータ機器で FQDN が同一な HTTP 偽サイトへ誘導することで、
             (1) secure 属性がない Cookie が平文で送られる。(取得・盗聴)
             (2) 偽サイト上で Cookie を設定する。(作成・改ざん)
            ということが可能だ、ということですよね。

            嘘は言っていないけど、だから? という感想を持ちました。
            正規のサービス/サイト側で、クライアント(ユーザ)から送られてくる Cookie の内容を
            完全に信じて処理する時点で、サービス側の設計不備でしかないな、と。
            # 単なる不用心というか。

            セキュリティ確保の観点で啓蒙することは大事だと思うので、ぜひ進めて下さい。

            親コメント
            • by Anonymous Coward

              HTSTにすりゃ解決する問題

          • by Anonymous Coward

            ググったけど改竄や盗聴をされるなんて書いてるところはなかったぞ

    • by Anonymous Coward

      IPレイヤでの通信暗号化なんて広まってる?

    • by Anonymous Coward

      WEPや暗号化なしのオープンWi-Fiって全体的の設計でセキュリティ考えてないだろうから、
      認証サーバや各種ネットワーク機器に何か仕掛けられてても不思議ではない、
      というところは?
      いや仕組とかは詳しくないんで完全に妄想なんですけどね。

  • by Anonymous Coward on 2017年06月25日 19時47分 (#3233870)

    多分英国よりさらにひどい状況ですね

    ソフトバンクがばらまきまくった暗号化無しやWEPのAPが非常に多く、
    しかも少し前からノマドなどと自称してる馬鹿な連中がコーヒー店舗などのそのような危険なAPから平気で仕事の文書のクラウド共有や調べ物をする悪習慣が広がってしまっています

    あげくにBYODトライアルには真っ先に参加希望を出し、
    公衆wifiからの自社VPN接続は禁止と最初から条件を出してるのに
    ご自慢のMacBook(BYOD申請書の内容やそれと違反検知内容との統計もしっかり取ってるのにねぇ)で
    公衆wifiのIPサービスからつないできて即検知されてBYOD許可取り消し、
    それに腹を立てて逆ギレなんていう笑えない状況です

    • by Anonymous Coward

      想像で物事をここまで語る人ってすごいね。社内に閉じこもってる人ほど外や外国のことを全然わからず批判しかしない典型的な例だ。こういう人は上司にほしくないなぁ。

      • IT企業で不用意に「上司にほしくない」なんて言うと、当人が管理部門(社内IT部門)に回されて事態が悪化しますよ。
        親コメント
        • by Anonymous Coward

          文面からして、すでにIT部門の人だろ。
          たまにあるよ、部門まるごと技術の進歩に取り残されてるところ。自分たちがスタッフであって、本業を支援するために存在しているということを忘れてるところ。

      • by Anonymous Coward

        ほら、こうやって支離滅裂な思考で逆ギレするんですよ

      • by Anonymous Coward

        「日本では~」って言いたいだけなんだから放っておきなさいよ。

    • by Anonymous Coward

      バカが馬鹿やって自滅してるだけなら何も問題ないんだけどな
      バカのために馬鹿みたいな取り組みやりはじめて、まともな人間にまで負担を要求されるから困る

    • by Anonymous Coward

      大抵のソフトは通信が暗号化されてるから問題はもうちょっと軽い。

      非暗号化Wi-Fiとかを使う場合の問題は、通信相手が周りにモロバレになることぐらいじゃないの?
      コーヒー店で、周りから「まあ、やだ、あの人、DropBoxにアクセスしながらWikipediaで何か調べてるわ」とか思われる事はあっても、
      「クラウドに置いたエロ小説にを読んでいて、出てきた特殊なプレイの詳細を必死に調べている」といった通信内容はバレない。

      もし、平文通信を使う可能性のあるクラウドソフトとかを使ってるなら、どんな回線を使うという以前の言語道断なので何とかした方が良い。

      • by Anonymous Coward

        信頼できる回線を使うならVPNは省いて良いし、一旦無条件に接続許可して人が見つけて手で止めてるなら手遅れだし。
        クラウドストレージを使うのは公衆Wi-Fiと関係ないし。そんなに厳密にやりたきゃ回線くらい支給すればいいのに。

        • by Anonymous Coward

          >信頼できる回線を使うなら

          信頼できる回線なんて、無い無い。社内でちゃんと鍵の掛かる部屋の内部ぐらいでしか実現出来ないアイデアだ、そりゃ。
          社内でも鍵の掛からない所にLANケーブルが通ってたりしたらアウト。

          >VPNは省いて良いし

          ましてや社外で、「信頼できる回線」を用意する実用的な方法方法があるとすれば、そりゃVPNだ。

          • by Anonymous Coward

            だからさ、VPNを正しく張ってれば回線はすべて信頼できるし、物理的に社内に無い回線はおうちの無線LANだろうがコーヒー屋の無料APだろうが信頼度は一緒じゃん。
            そこに「回線提供者の良心の度合いが違うから、一方はより安全といえる」みたいなこと言われちゃうと、こいつ本当にわかってんのかなって思わない? 怖くない?

          • by Anonymous Coward

            閉域SIMってVPNに含まれるのだろうか

            • by Anonymous Coward

              VPNではない通信路の一つ。VPNなら安全性はカプセル化するプロトコルにだけ依存するけど、閉域WWANは
              経路のすべてを検証しないと安全とは言えないところが違うんじゃないかな。例えば強制的にGSMにダウングレードして
              偽基地局に繋がせるとか、キャリアのルータにフィルタを仕込むといった攻撃に対してはあまり効果がないだろうし。

      • by Anonymous Coward

        まあでも「公衆wifiからの自社VPN接続は禁止と最初から条件を出してる」という規則なら、それは守ったほうがいいでしょう。というわけで、公衆Wi-Fiから、まず自宅にVPNで繋いで、そこから会社にVPNしましょう!

    • by Anonymous Coward

      マカーなんか雇うからだ

  • by Anonymous Coward on 2017年06月26日 12時15分 (#3234089)

    鶴の一声で無料Wi-Fi設置することなったけど、
    見積もり出したら、家庭用回線と家庭用ルータでできるだろう!と。
    予算、初期5000円、月額5000円程度でやれと。

    問題が起きたときは部長が出頭するということで話付けた。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...