FBIがホテルのWi-Fiを使ったテレワークにはリスクがあると警告 36
ストーリー by nagazou
経費じゃ無くて自費だよねホテル代 部門より
経費じゃ無くて自費だよねホテル代 部門より
あるAnonymous Coward 曰く、
COVID-19によって増加したホテルからのテレワークにFBIが警告を出しているそうだ。アメリカでは自宅で在宅勤務していた個人が、静かな環境を求めてホテルでの在宅勤務に切り替える例が増えているという。しかし、ホテルのワイヤレスネットワーク(Wi-Fi)を使用する際は注意が必要だとFBIは警告している(Crime Complaint Center (IC3)、iPhone Mania)。
ホテルのWi-Fiは認証方法や暗号化方式が古いためにセキュリティが低い可能性もある。ハッカーなどがこうしたセキュリティの甘いホテルのネットワークに目をつけ、機密情報や個人情報を盗み取る危険性があると指摘している。通信の傍受だけではなく、最悪の場合利用しているPCをリモート操作されてしまう可能性もあるとしている。
ホテルWi-Fi (スコア:1)
海外は行ったことないので知りませんが、ほとんどのホテルがCaptive Portal認証だから、
盗聴に弱いという欠陥を抱えたままなんですよねぇ。
Wi-Fiのキーもフロントで教えてくれるので、
その辺のWi-FiのフレームからMACアドレスさえ知ってしまえば、
自身でCaptive Portal認証通さなくてもインターネットに出られてしまったり。
Re: (スコア:0)
ホテルWiFiはほぼ全てが盗聴に脆弱だと思います
PSKと盗聴した鍵交換時のパケットがあれば暗号鍵をゲットできちゃうので
OWEとかいう新規格はDiffie-Hellmanで鍵交換するので盗聴に強いんですが、そもそも対応APを見たことがないですね
#ホテルのPSKはセキュリティよりタダ乗り対策の側面が強そう。ホテルの人がそのあたりに詳しいとも思えないので、セキュリティのためを思って設定している可能性もありますが
Re: (スコア:0)
ホテルネットワーク構築経験者ですが、PSKについては単純にただ乗り対策です。じゃなきゃPSKを電話番号になんかしませんて。
そして、大抵の日本のホテルではCaptivePortalはもう流行ではなくなっています。
もともとCaptivePortalにしていたのは課金する要素があったホテル(海外資本のところでは速度や通信プロトコルで課金するところがあった)の設計をそのまままねただけなので、
必要ないと気付いたところが大半です。
あとは他のところの流れから拾うと、ちゃんとホテル対応のWi-Fiシステム入れていれば、
Buffaloでいうところのプライバシーセパレーター的なものは入っています。正確にはコントローラー/アクセスポイントでACLかけている感じですが。
有線の方も同じくホポート単位で通信制限を掛けています。こちらはHPのものが大変設定しやすいのでお勧めです。
真意 (スコア:1)
「俺らいつもそういうのやってっからね」
Re: (スコア:0)
高二仲間は皆わかってるから
FBIのサイトに書いてないケース (スコア:0)
プライバシーセパレータが導入されてなくて、LAN内の共有フォルダが丸見えとか。
まあ最近はパスワード保護共有を無効にしてる奴はそんなに多くないか?
Re: (スコア:0)
ファイアウォールのゾーン選択で敢えて「プライベート」を選んだり無効化したりしない限り、それもないでしょう。
Re:FBIのサイトに書いてないケース (スコア:1)
ファイアウォール?めんどくさいな、設定しておくか…なになに?パブリックとプライベート?パブリックって公開しちゃうってことか、プライベートはプライバシーが守られるんだな?公開はまずいよな。じゃプライベートか。OK!
Re:FBIのサイトに書いてないケース (スコア:1)
実際に居そうでこわい
なんで経費じゃだめなんか (スコア:0)
別にいいんじゃね、それで成果が上がってちゃんと利益がでるなら。
こういうの、うんざりだ。
Re: (スコア:0)
文盲かな。
成果が盗まれる環境だから注意しろっていってるんだよ。
Re: (スコア:0)
すげえな。この文章が読めるんだ。。。
誤爆にしか見えなかった。
ルーターの手前に (スコア:0)
ダムハブ噛ませてデータ読み取り、くっくっく、、、、、
っていうのが昔流でしたが、今はどうやるんでしょう。スイッチングハブだとだめだし。
Re:ルーターの手前に (スコア:2)
ハブ噛ませることが出るなら同じです。
監視用ポートは設定できますから。
#なかったら仕事にならん。
Re: (スコア:0)
最近じゃ暗号化の流行で読み取れるなんてたかが知れてるでしょ。
Re:ルーターの手前に (スコア:2)
壁や廊下に高感度マイクを置くだけで、大声で会話する会議のネタは取れる。
Wi-Fi以前にホテルの物理的遮蔽を気にする方が先では。
“人生の大半の問題はスルーカで解決できる...
ウチの部署は (スコア:0)
顧客要望でホテルはもとよりシェアオフィスのたぐいでもWi-Fi利用不可なんですよね。
会社としては社員のシェアオフィスの利用者登録までして推進してるのに。
利用案内のメールは飛んでくるのに使えない。
テレワークするのに生で接続するの? (スコア:0)
企業側は自前でVPN機器を用意するか,どこかに委託するかっていう話はあると思うが、テレワークするならVPNソフトで接続するのが普通とはなってないんですかね?
Re: (スコア:0)
VPNなら大丈夫って思い込みもまずいですよね。
Pulse Connect Secureの認証回避の脆弱性も記憶に新しいですし。
それを言ったら何もできないのでは? (スコア:2)
まず、なんで Wi-Fi が問題視されるのかが理解できないんですけど、Wi-Fi 以前の問題としてインターネット自体、盗聴される前提で使うしか無いわけで、end-to-end で暗号化して使うのは基本中の基本だと思うので、Wi-Fi が暗号化されてる必要なんてないんじゃないかと思うんですよね。
しかし、その際に end-to-end の暗号化を行うソリューションが信頼できないとなると手の施しようがないわけです。
ゼロデイは対策のしようがないので、保険として二重に暗号化して使うとかはあるかもしれないですけど、既知の脆弱性については片っ端から潰す前提で信頼して使うしか無いのではないでしょうか?
uxi
Re: (スコア:0)
というかこれってホテルに限った事じゃないし
Re:テレワークするのに生で接続するの? (スコア:1)
> というかこれってホテルに限った事じゃないし
ですよね
彼らは全ての通信を傍受している、ってモルダーも言ってました
Re: (スコア:0)
限ってはいないけど「ホテルのネットワークは堅牢性よりもゲストの利便性を優先しがち。小規模なホテルではサービスデスクにWi-Fiアクセスのパスワードを掲示し、このパスワードを変更することはめったにない」から、特に気をつけろと言っているわけでしょ?
以前は自宅で在宅勤務していた人がホテルから在宅勤務を始めている傾向がみられるけど、自宅のWi-Fi環境よりセキュリティリスクが高いから無防備に繋ぐなと。
Re: (スコア:0)
テレワークの通信先とのやりとりの話じゃないよ。
ホテルのWi-Fiという、同じサブネットにどんな人間がいるか分からないところにPCを直に繋げるリスクの話だよ。
Re:テレワークするのに生で接続するの? (スコア:1)
自宅でもマンションやアパートだとL2でお隣さんと繋がってる可能性あるしなぁ
Re: (スコア:0)
うちはシンクライアントなのでVPNなんて使ってないですね。
Re: (スコア:0)
私の知識だとネタなのかガチなのか判断に困る。
シンクラに通信モジュールついててRAS接続とかなのか、
渡されたファット端末が貧弱なのでもはやシンクラという話とかか
Re: (スコア:0)
RDPしか開いてないテレワークは事実上シンクラだろう。
あと認証は会社携帯を使った多要素。
最近結構多い。
逆に言えば (スコア:0)
Twitterとかでよく炎上する人は、ホテルから投稿すれば「ハッキングされた」と言い逃れできるのか
根本からじゃないだろうか (スコア:0)
Wi-Fiだから危ないですって話でもないかと
そんなとこのネットワークが有線LANなら安全なのかいと小一時間
信頼できないネットワークには繋ぐな
特に仕事なら尚の事
自前のLTE回線を用意しろ
費用がかさむなら経費となるよう交渉しろ
ではないかと
むしろ経費となるよう制度を作る努力しろよFBI
ではないかと
「ゼロトラストネットワーク」って流行ってんじゃないの? (スコア:0)
信頼できるPCから一歩外に出たら、ネットワークなんて社内でも信用ならん、ってのが最近の流行なのに、ホテルのWiFi程度でセキュリティが・・・なんて言っている時点で何をいまさら感。
繋げてあげるまでがホテルのサービスで、そこから先のセキュリティ云々は利用者が勝手にやってくれ、で良いのでは?
Re:「ゼロトラストネットワーク」って流行ってんじゃないの? (スコア:3)
>利用者が勝手にやってくれ、で良いのでは?
そうではなく、ホテル側がネットセキュリティを開示していないことが本質問題
うちのホテルはセキュリティが高いですというのをウリにして利用者を増やすもよいし
セキュリティは低いけどネット利用料はタダです、何かあってもお客様自己責任ですというものありだろう。
それはホテル側が決めることだし、それを見てどう判断するかも利用者次第
つまり「利用者が勝手にやってくれ」が先に来るのではなく、
まずはホテル側の経営判断とそれにより決定されたネットポリシーの開示が先なんだよ。
Re:「ゼロトラストネットワーク」って流行ってんじゃないの? (スコア:1)
個人経営の小規模ホテルなんかだと、個人向け回線に市販の個人向けアクセスポイントポン付けしただけのところもいくらでもあろうに、ポリシーを開示されたところで、そのポリシーに則って正しく運用されていると期待すること自体に無理がない?
ルーターに複雑なパスワード設定したからセキュリティ対策完了!そのまま10年放置!みたいなところなんていくらでもありそう。
世の中的には、ホテルのネットポリシーなんてハナから信用するな、無いものと思え、って認識を広めといた方が良いような。
到底できもしないことに期待して、裏切られたら憤慨するよりも。
Re: (スコア:0)
昔は
admin
passwd
なんて所もあったね。
Re: (スコア:0)
セキュリティが低いポリシーを正しく決めるためは高いセキュリティのスキルが必要で、
それは低いポリシーでも投資は先にいるってことだと思うので、IT関連業界でないホテルでそれはどうかなあと思った。
民泊にあるという民泊SIMとやらをホテルも使えるようになればいいのかも。
Re: (スコア:0)
ほんとに zero-trust なのは人間だってこと。
企業の情報管理プロセスから人間を排除するなんてこといまや当たり前。
いまどきの企業にとっては顧客すら zero-trust 。