パスワードを忘れた? アカウント作成
13457791 story
ネットワーク

総務省、暗号化されていない公衆無線LANアクセスポイントを原則禁止にする方針 83

ストーリー by hylom
さすがにこれは妥当では 部門より

総務省が暗号化されていない公衆無線LANアクセスポイントを規制する方針だと報じられている(産経新聞)。

暗号化されていない公衆無線LANでは、第三者が通信内容を盗み見できる可能性があるといった問題点がある。そのため、今年中に課題をまとめ、来年度に公衆無線LAN事業者向けのガイドラインを改定するという。

なお、産経新聞の記事では「パスワード不要の公衆無線LANアクセスポイントを原則として規制」とされているが、パスワード不要という点が問題なのではなく、暗号化されない無線LANを問題視している模様。

  • おまいう (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2017年11月17日 17時24分 (#3314270)

    http://www.soumu.go.jp/ [soumu.go.jp]
    さっさとhttpsへ移行したらどうなんだ

    ここに返信
  • パスワードPSKが公開されてても暗号キーは違うものが生成されるから通信の安全が保たれるというのは嘘
    実際にはハンドシェイクを盗み取られたら終わり

    WPAパーソナル=PSKは家庭用、本来公衆Wi-Fiに使われているのがおかしい
    公衆Wi-Fiに使うべきなのはWPAエンタープライズ=EAP
    docomo,au,softbankのWi-FiはEAP対応で各自別の個人ID/Passwordで認証かSIMのクライアント証明書認証なので安全

    パスワードを共有しているWPAパーソナルのFree Wi-FiはTLSやVPNで暗号化しない限り危険

    ACで何度も嘘を色々なスレに書き込んでガセ情報をまき散らす香具師がいるから
    高木浩光大先生も耐えかねて3314445 [srad.jp]は「知ったか厨」だとツイートしてる
    Hiromitsu Takagiさんのツイート: "こういう知ったか厨っているんだね。 [twitter.com]

    出鱈目なカキコ
    ・ACの3314450 [srad.jp]
    ・ACの3314545 [srad.jp]
    ・ACの3314473 [srad.jp]
    ・ACの3314531 [srad.jp]

    正しいカキコ
    ・ACの3314306 [srad.jp]
    ・M-FalconSky(8868)の3314343 [srad.jp]
    ・Printable is bad.(38668)の3314529 [srad.jp]
    ・ACの3314469 [srad.jp]
    ・Printable is bad.(38668)の3314487 [srad.jp]
    ・ACの3314493 [srad.jp]

    ここに返信
    • by Anonymous Coward

      どうせiPhoneがどうのAndroidがどうのと書き込んでるいつものガイジだろ
      釣りのつもりじゃなくてマジでパス公開のWi-Fiが安全だと信じ込んでるみたいだから痛すぎる
      PKIを理解してりゃユーザ毎の暗号鍵を安全に相手にだけ受け渡すにはPKIを使わなきゃ不可能だということぐらいわかると思うんだがね
      PSK方式はユーザ事の暗号鍵をPSKで暗号化して渡してるようなもんだからパス知っている人に対しては安全性は保てない

      何のためにEAPがあると思ってるんだろうね、ああいう安全厨って
      EAPはSSLのように認証局の証明書で正しいAPだと検証するしクライアント証明書やID+PASSペアはその公衆Wi-Fiを使わない安全な方法で事前に渡しておくから安全が確保できてるのよ
      PSKで安全ならEAPの存在意義がない

      俺もACだからああいう奴と一緒にされたら迷惑だわ

  • WEP禁止? 由緒あるゲーム機が使えなくなるな

    ここに返信
    • by Anonymous Coward

      なんでDSはWi-Fiスタックを個々のソフト側に持たせたんだろうな

    • by Anonymous Coward

      既にDSのネットワークサービスなんて動いてないでしょ^^;

    • by Anonymous Coward

      「ニンテンドーDS」および「Wii」ソフトの
      「ニンテンドーWi-Fiコネクション」サービス終了のお知らせ
      https://www.nintendo.co.jp/support/information/2014/0227.html [nintendo.co.jp]
      > いつも弊社商品をご愛顧いただきまして誠にありがとうございます。
      > このたび、2005年11月にサービスを開始しました、「ニンテンドーDS」および「Wii」のインターネット通信サービス「ニンテンドーWi-Fiコネクション」を、2014年5月20日(火)をもちまして終

    • コイツはとにかく頑丈ですね
      30年たっても健在してます(粉砕しにくい)

      またやっていただけないかなぁ 四六時中パン祭り

  • by Anonymous Coward on 2017年11月18日 13時08分 (#3314735)

    よく見かけるのが、知識が無くてアホな記者は、逆ギレしながら、わかりやすく説明しろ と怒鳴りとばす。
    時間のムダで迷惑そのもの。
    東京新聞・毎日新聞の50歳前後の素人記者は最悪。
    特に、ITに弱い記者は、一度自分で勉強してから、再度取材申し込みして記事書いたほうがいい。
    最近ネットで騒がれる要因のひとつが、記者の質が落ちているからだと思われる、今日この頃・・

    ここに返信
  • by Anonymous Coward on 2017年11月17日 17時25分 (#3314272)

    産経の記事を見て、パスワード不要を原則禁止はだいぶ過激だな、
    とか思ってたけど暗号化の方か。
    暗号化はさすがに原則必須にしていいでしょもう。
    むしろ、家庭用とかだって暗号化必須にしてもいいと思う。
    (って、暗号化するにはパスワード必須だっけ?)

    ここに返信
    • by Anonymous Coward

      何らかの認証は必要としてもパスワードとは限らない、ですかね。
      機械が勝手にやってくれる認証もある。

  • by Anonymous Coward on 2017年11月17日 18時09分 (#3314306)

    パスワードが有っても、IDとパスワードが固定であれば成りすましAPを設置できてしまいます。
    ちゃんとそれも考慮して規制してほしいところ。

    ここに返信
    • まー、MITMできるのはそうなんだけど、もとよりWPAのパスワード(公開)の意義って

      * 途中からのキャプチャだと解析がつらくなる(絶対できないとはいわない)

      くらいだからなあ...

      # 最初っから漏れなくキャプチャできるなら、かなり早く解析ができるはず

      そして、ないよりはあったほうがいいタイプのセキュリティの要素じゃないかなと。
      ちょっと昔に覚えたことがベースなので、なんか間違ったこと書いてるかもしれんけど

      かといって、個別に認証できるようにするのは、キャリアのWi-Fi(EAP-SIMとかね)とか以外だと厳しそうだし

      --
      M-FalconSky (暑いか寒い)
      • by Anonymous Coward

        > # 最初っから漏れなくキャプチャできるなら、かなり早く解析ができるはず

        全然違う

        WPA以降では機器の間で暗号化に使用する鍵を定期的に交換するようになっているので、
        この機能を意図的に無効にする(鍵を変更しない)ようにしない限りは、
        最初からキャプチャしようが途中からキャプチャしようが(頻繁に鍵が変わるので)解析の助けにはならない

        なんかこのストーリーのコメの内容がみんなおかしいな
        WEP時代か、それよりももっとずさんなことしかやってないっていう決めつけで書かれた間違った内容のコメが多すぎる

        • WPA以降では機器の間で暗号化に使用する鍵を定期的に交換するようになっているので、
          この機能を意図的に無効にする(鍵を変更しない)ようにしない限りは、
          最初からキャプチャしようが途中からキャプチャしようが(頻繁に鍵が変わるので)解析の助けにはならない

          「機器の間で暗号化に使用する鍵を定期的に交換する」のは、脆弱な暗号化アルゴリズム RC4 を用いた WEP を既存の機器の買い替えの必要なくファームウェアの更新のみでマシにするために考えられた WPA-TKIP の話。TKIP では、暗号化アルゴリズムは脆弱な RC4 のままなので、10,000パケット毎に暗号鍵を変更することでなんとか安全性を少しでも高めようとしたわけです。(TKIP は WEP よりはマシなものの脆弱なので使用は推奨されません)

          一方、今主流の WPA2-AES は、安全な暗号化アルゴリズム AES を使うことで、暗号鍵の定期的な変更の必要は無くなったので、Wi-Fi AP とクライアント間のユニキャスト通信に用いられる暗号鍵は 4-Way-Handshake の際に受け渡され、再接続するまで変更されない のです。

          WPA2-PSK AES でもバッファロー等の家庭用無線LAN APの設定項目に「Key更新間隔」という項目があるじゃないかと思っているかもしれませんが、これは GTK (Group Transient Key) というマルチキャスト・ブロードキャスト通信のみで使う別の暗号鍵です。マルチキャスト・ブロードキャスト用の暗号鍵は全クライアント共通であることから、既に切断したクライアントが使っていた鍵は使わない方が良いかもしれないという発想から、定期的な変更を可能にした感じです。

          # 厳密に書くと、4-Way-Handshake で Nonce・MACアドレス・PMK (Pairwise Master Key、PSK:Pre Shared Keyを変換したもの) から算出した PTK (Pairwise Transient Key) に含まれる、TK (Temporary Key) がユニキャスト通信の暗号化・復号に用いられる。詳しくは #3314487 [srad.jp] をご覧ください。

          なんかこのストーリーのコメの内容がみんなおかしいな
          WEP時代か、それよりももっとずさんなことしかやってないっていう決めつけで書かれた間違った内容のコメが多すぎる

          話がかみ合わないのが、貴方が WPA-TKIP の時代に止まっているからだと思います。

        • by Anonymous Coward

          なんかこのストーリーのコメの内容がみんなおかしいな
          WEP時代か、それよりももっとずさんなことしかやってないっていう決めつけで書かれた間違った内容のコメが多すぎる

          おかしいのは貴殿のコメント
          仕組みを全部理解しろとは言わんが、決めつけで書く前にせめて自分の主張が正しいかどうかくらい再確認するべき

      • by Anonymous Coward

        EAP-PEAPやEAP-TTLS必須で良いでしょ。

  • by Anonymous Coward on 2017年11月17日 18時59分 (#3314332)

    碌なセキュリティーも確保せずパスワード無しで会社のWi-Fiを公開してる上司を撤去できる!

    ここに返信
    • by Anonymous Coward

      通報者が撤去されるのですね わかります

    • by Anonymous Coward

      いい上司じゃないか。早速利用させてもらおう。

    • by Anonymous Coward

      ハニーポットを設置してる良い上司を撤去しちゃだめだ

  • by Anonymous Coward on 2017年11月17日 19時27分 (#3314356)

    WPA(2)-PSKはPSKを知っている相手に対して通信内容を秘匿する能力は無いに等しいので、こんな施策に意味があるとは思えません。
    詳しくない人に「暗号化しているから安心!」と勘違いさせてしまうことを考えると、PSKばら撒きタイプは暗号化なしよりもタチが悪いように思います。

    ここに返信
    • by Anonymous Coward

      それはそれで正論だけど、それを言い出すなら「自分が管理してないネットワークに平気で繋ぐことが当たり前になった時点でアウト」だと思う。

      何をもって「自分が管理してない」にするかは微妙だけどね。まさか大手町まで直結回線持ってる個人宅なんてないだろうし。

      • by Anonymous Coward

        WPA-EAP のアクセスポイントにだけ繋ぐようにしてれば、「自分が管理してないネットワークに平気で」繋いでも問題ないわけだが。

    • by Anonymous Coward

      >WPA(2)-PSKはPSKを知っている相手に対して通信内容を秘匿する能力は無いに等しいので、

      全然違う

      複数の利用者でPSKを共有していても、経路暗号化はPSK自体ではなくそこから生成された各利用者ごとの一時鍵で行われるので
      周囲の利用者は通信内容を盗聴することはできない

      ただし、WPA自体は無線区間の暗号化しかしないので、ルータやそれよりも上流のところで悪意あるものがいたらそこは当然暗号化されていない
      ここを守りたければsslなりVPNなりが必要

      • by srad.jp (48253) on 2017年11月18日 2時00分 (#3314560)

        >WPA(2)-PSKはPSKを知っている相手に対して通信内容を秘匿する能力は無いに等しいので、

        全然違う

        複数の利用者でPSKを共有していても、経路暗号化はPSK自体ではなくそこから生成された各利用者ごとの一時鍵で行われるので 周囲の利用者は通信内容を盗聴することはできない

        ただし、WPA自体は無線区間の暗号化しかしないので、ルータやそれよりも上流のところで悪意あるものがいたらそこは当然暗号化されていない ここを守りたければsslなりVPNなりが必要

        お前のような技術を理解できん馬鹿文系は、権威のある人に叱ってもらわないと間違いを認められないようだ

        お前がACで嘘をまき散らしているのに耐えかねて、高木浩光大先生がお前が間違いだとツイートしたから見ろ!

        Hiromitsu Takagiさんのツイート: "こういう知ったか厨っているんだね。 https://t.co/LSJdyLu2Xn" [twitter.com]

        リンクで #3314445 を指してお前が「知ったか厨」だと断言している

        これで間違ってること分かっただろ、WPA-PSK はWPAパーソナルの規格だから家庭内での利用に限り安全なものでパスワードを不特定多数で共有してよいものではないんだよ

        だいたい、なんのためにWPAエンタープライズという別の規格もあるのか考えりゃ分かるだろ

      • by Anonymous Coward

        >全然違う
        >複数の利用者でPSKを共有していても、経路暗号化はPSK自体ではなくそこから生成された各利用者ごとの一時鍵で行われるので
        >周囲の利用者は通信内容を盗聴することはできない
        違いません。
        4way handshakeのパケットとPSKがあれば一時鍵は簡単に得ることができます。
        https://www.cisco.com/c/ja_jp/support/docs/ [cisco.com]

  • by Anonymous Coward on 2017年11月17日 20時41分 (#3314413)

    現在日本では krack や blueborne 脆弱性を抱えたままの端末が販売されています、例えばNEC
    http://nec-lavie.jp/shop/tablet/catalog/e/ [nec-lavie.jp]

    それらの端末の公式ページの仕様欄には bluetooth などが正常に利用できるかのように記述されていますが
    実際には脆弱性の為、現実的な利用シーンで当該機能をオンにすることはできません
    これは明らかに景品表示法の優良誤認なのですがメーカーは対応するそぶりもありません
    まずはこれらの端末を販売ができなくなるよう規制をしていただきたいです

    ここに返信
    • by Anonymous Coward

      CVE-2017-13080 が対象外でもなく修正もされないiPhone6S、iPhoneSEについても同じこと言ってくれよ

      まだまだ普通に売ってる(むしろBiglobeがこれから販売に加わるなど販路が増える)端末なのにAppleは全開で逃げ逃げだからな

      • by Anonymous Coward

        対策は必要ありません

        http://www.appps.jp/279046/ [appps.jp]

        • by Anonymous Coward

          必要ないなどということはAppleの発表には一切書かれていない
          また、 CVE-2017-13080 は明確にほかのKrack脆弱性とは別の項に分けて記載されており、
          iPhone6SやiPhoneSEも脆弱性対象外ではなく、修正はiPhone7以降しか行われていない

          ※ 運営さん、さすがにこういう「書かれてもいないことを勝手にねつ造してiPhoneは大丈夫と言っちゃうやつ」は不味いよ、今回のストーリーを見ても行政がこういうのの対処を強めてることはわかるよね?

          • by Anonymous Coward

            スレッドの先っぽに自分のコメントがついてないと不安で仕方がないんだね。
            最後にコメントしてあれば論破した気分になれるみたいな。

            • by Anonymous Coward

              #3314521 はわざわざ自己紹介しなくていいよ

              iPhone6S、SEで CVE-2017-13080 が放置されているとしか読み取れないAppleの公式発表ついての反論にもまったくなってない
              Appleに都合の悪い話に対しての嫌がらせ行為にしかなっていない、ホント迷惑行為だ

              • by Anonymous Coward

                iPhoneに親でも殺されたのかい?

              • by Anonymous Coward

                個人攻撃って何か知らないでしょう

  • by Anonymous Coward on 2017年11月18日 1時02分 (#3314547)

    方向性としては正しいと思うけど、実際に政府が禁止できるのか?っていう問題はあると思う。
    通信の秘密の範疇で、暗号化しない公衆無線LANを設置したいというアナーキストを規制できるのかな。
    この通信は暗号化されてない、と指摘した時点で通信の秘密を犯したことになるのでは。

    ここに返信
    • by Anonymous Coward

      便利やなぁ通信の秘密

    • by Anonymous Coward

      その通信が暗号化されてないということをどうやって知ったかによる。
      傍受で知ったなら指摘以前に通信の秘密を侵しててアウト。そうじゃないならセーフ。

      「郵便葉書を裏返すと内容を読むことができる」とか「POP3 のこのサーバは平文でパスワードを送受信してる」
      とか指摘したところで、通信の秘密を侵したことになるわけじゃないだろうよ。

  • by Anonymous Coward on 2017年11月18日 1時38分 (#3314556)

    無線に限らずインターネットとは傍受されるものだと思っておりましたが・・・
    秘匿性が必要ならVPN使うなりHTTPS使うなりしろって話であって、ことさら無線LANだけを特別視する必要を感じない。

    ここに返信
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...