パスワードを忘れた? アカウント作成
14949871 story
通信

FBIがホテルのWi-Fiを使ったテレワークにはリスクがあると警告 36

ストーリー by nagazou
経費じゃ無くて自費だよねホテル代 部門より
あるAnonymous Coward 曰く、

COVID-19によって増加したホテルからのテレワークにFBIが警告を出しているそうだ。アメリカでは自宅で在宅勤務していた個人が、静かな環境を求めてホテルでの在宅勤務に切り替える例が増えているという。しかし、ホテルのワイヤレスネットワーク(Wi-Fi)を使用する際は注意が必要だとFBIは警告している(Crime Complaint Center (IC3)iPhone Mania)。

ホテルのWi-Fiは認証方法や暗号化方式が古いためにセキュリティが低い可能性もある。ハッカーなどがこうしたセキュリティの甘いホテルのネットワークに目をつけ、機密情報や個人情報を盗み取る危険性があると指摘している。通信の傍受だけではなく、最悪の場合利用しているPCをリモート操作されてしまう可能性もあるとしている。

  • by Anonymous Coward on 2020年10月10日 9時15分 (#3904193)

    海外は行ったことないので知りませんが、ほとんどのホテルがCaptive Portal認証だから、
    盗聴に弱いという欠陥を抱えたままなんですよねぇ。
    Wi-Fiのキーもフロントで教えてくれるので、
    その辺のWi-FiのフレームからMACアドレスさえ知ってしまえば、
    自身でCaptive Portal認証通さなくてもインターネットに出られてしまったり。

    ここに返信
    • by Anonymous Coward

      ホテルWiFiはほぼ全てが盗聴に脆弱だと思います
      PSKと盗聴した鍵交換時のパケットがあれば暗号鍵をゲットできちゃうので

      OWEとかいう新規格はDiffie-Hellmanで鍵交換するので盗聴に強いんですが、そもそも対応APを見たことがないですね

      #ホテルのPSKはセキュリティよりタダ乗り対策の側面が強そう。ホテルの人がそのあたりに詳しいとも思えないので、セキュリティのためを思って設定している可能性もありますが

      • by Anonymous Coward

        ホテルネットワーク構築経験者ですが、PSKについては単純にただ乗り対策です。じゃなきゃPSKを電話番号になんかしませんて。
        そして、大抵の日本のホテルではCaptivePortalはもう流行ではなくなっています。
        もともとCaptivePortalにしていたのは課金する要素があったホテル(海外資本のところでは速度や通信プロトコルで課金するところがあった)の設計をそのまままねただけなので、
        必要ないと気付いたところが大半です。

        あとは他のところの流れから拾うと、ちゃんとホテル対応のWi-Fiシステム入れていれば、
        Buffaloでいうところのプライバシーセパレーター的なものは入っています。正確にはコントローラー/アクセスポイントでACLかけている感じですが。
        有線の方も同じくホポート単位で通信制限を掛けています。こちらはHPのものが大変設定しやすいのでお勧めです。

  • by Anonymous Coward on 2020年10月10日 13時07分 (#3904282)

    「俺らいつもそういうのやってっからね」

    ここに返信
    • by Anonymous Coward

      高二仲間は皆わかってるから

  • by Anonymous Coward on 2020年10月10日 6時53分 (#3904159)

    プライバシーセパレータが導入されてなくて、LAN内の共有フォルダが丸見えとか。
    まあ最近はパスワード保護共有を無効にしてる奴はそんなに多くないか?

    ここに返信
  • by Anonymous Coward on 2020年10月10日 8時38分 (#3904177)

    別にいいんじゃね、それで成果が上がってちゃんと利益がでるなら。
    こういうの、うんざりだ。

    ここに返信
    • by Anonymous Coward

      文盲かな。
      成果が盗まれる環境だから注意しろっていってるんだよ。

      • by Anonymous Coward

        すげえな。この文章が読めるんだ。。。
        誤爆にしか見えなかった。

  • by Anonymous Coward on 2020年10月10日 9時19分 (#3904200)

    ダムハブ噛ませてデータ読み取り、くっくっく、、、、、
    っていうのが昔流でしたが、今はどうやるんでしょう。スイッチングハブだとだめだし。

    ここに返信
  • by Anonymous Coward on 2020年10月10日 11時49分 (#3904255)

    顧客要望でホテルはもとよりシェアオフィスのたぐいでもWi-Fi利用不可なんですよね。
    会社としては社員のシェアオフィスの利用者登録までして推進してるのに。
    利用案内のメールは飛んでくるのに使えない。

    ここに返信
  • by Anonymous Coward on 2020年10月10日 12時14分 (#3904263)

    企業側は自前でVPN機器を用意するか,どこかに委託するかっていう話はあると思うが、テレワークするならVPNソフトで接続するのが普通とはなってないんですかね?

    ここに返信
    • by Anonymous Coward

      VPNなら大丈夫って思い込みもまずいですよね。
      Pulse Connect Secureの認証回避の脆弱性も記憶に新しいですし。

      • まず、なんで Wi-Fi が問題視されるのかが理解できないんですけど、Wi-Fi 以前の問題としてインターネット自体、盗聴される前提で使うしか無いわけで、end-to-end で暗号化して使うのは基本中の基本だと思うので、Wi-Fi が暗号化されてる必要なんてないんじゃないかと思うんですよね。
        しかし、その際に end-to-end の暗号化を行うソリューションが信頼できないとなると手の施しようがないわけです。
        ゼロデイは対策のしようがないので、保険として二重に暗号化して使うとかはあるかもしれないですけど、既知の脆弱性については片っ端から潰す前提で信頼して使うしか無いのではないでしょうか?

        --
        uxi
    • by Anonymous Coward

      というかこれってホテルに限った事じゃないし

      • by Anonymous Coward on 2020年10月10日 15時40分 (#3904346)

        > というかこれってホテルに限った事じゃないし

        ですよね

        彼らは全ての通信を傍受している、ってモルダーも言ってました

      • by Anonymous Coward

        限ってはいないけど「ホテルのネットワークは堅牢性よりもゲストの利便性を優先しがち。小規模なホテルではサービスデスクにWi-Fiアクセスのパスワードを掲示し、このパスワードを変更することはめったにない」から、特に気をつけろと言っているわけでしょ?
        以前は自宅で在宅勤務していた人がホテルから在宅勤務を始めている傾向がみられるけど、自宅のWi-Fi環境よりセキュリティリスクが高いから無防備に繋ぐなと。

    • by Anonymous Coward

      テレワークの通信先とのやりとりの話じゃないよ。
      ホテルのWi-Fiという、同じサブネットにどんな人間がいるか分からないところにPCを直に繋げるリスクの話だよ。

    • by Anonymous Coward

      うちはシンクライアントなのでVPNなんて使ってないですね。

      • by Anonymous Coward

        私の知識だとネタなのかガチなのか判断に困る。

        シンクラに通信モジュールついててRAS接続とかなのか、
        渡されたファット端末が貧弱なのでもはやシンクラという話とかか

        • by Anonymous Coward

          RDPしか開いてないテレワークは事実上シンクラだろう。
          あと認証は会社携帯を使った多要素。
          最近結構多い。

  • by Anonymous Coward on 2020年10月10日 13時41分 (#3904287)

    Twitterとかでよく炎上する人は、ホテルから投稿すれば「ハッキングされた」と言い逃れできるのか

    ここに返信
  • by Anonymous Coward on 2020年10月10日 14時47分 (#3904318)

    Wi-Fiだから危ないですって話でもないかと

    そんなとこのネットワークが有線LANなら安全なのかいと小一時間

    信頼できないネットワークには繋ぐな
    特に仕事なら尚の事
    自前のLTE回線を用意しろ
    費用がかさむなら経費となるよう交渉しろ

    ではないかと

    むしろ経費となるよう制度を作る努力しろよFBI

    ではないかと

    ここに返信
  • 信頼できるPCから一歩外に出たら、ネットワークなんて社内でも信用ならん、ってのが最近の流行なのに、ホテルのWiFi程度でセキュリティが・・・なんて言っている時点で何をいまさら感。

    繋げてあげるまでがホテルのサービスで、そこから先のセキュリティ云々は利用者が勝手にやってくれ、で良いのでは?

    ここに返信
    • >利用者が勝手にやってくれ、で良いのでは?

      そうではなく、ホテル側がネットセキュリティを開示していないことが本質問題

      うちのホテルはセキュリティが高いですというのをウリにして利用者を増やすもよいし
      セキュリティは低いけどネット利用料はタダです、何かあってもお客様自己責任ですというものありだろう。
      それはホテル側が決めることだし、それを見てどう判断するかも利用者次第

      つまり「利用者が勝手にやってくれ」が先に来るのではなく、
      まずはホテル側の経営判断とそれにより決定されたネットポリシーの開示が先なんだよ。

      • 個人経営の小規模ホテルなんかだと、個人向け回線に市販の個人向けアクセスポイントポン付けしただけのところもいくらでもあろうに、ポリシーを開示されたところで、そのポリシーに則って正しく運用されていると期待すること自体に無理がない?
        ルーターに複雑なパスワード設定したからセキュリティ対策完了!そのまま10年放置!みたいなところなんていくらでもありそう。

        世の中的には、ホテルのネットポリシーなんてハナから信用するな、無いものと思え、って認識を広めといた方が良いような。
        到底できもしないことに期待して、裏切られたら憤慨するよりも。

        • by Anonymous Coward

          昔は
          admin
          passwd
          なんて所もあったね。

      • by Anonymous Coward

        セキュリティが低いポリシーを正しく決めるためは高いセキュリティのスキルが必要で、
        それは低いポリシーでも投資は先にいるってことだと思うので、IT関連業界でないホテルでそれはどうかなあと思った。

        民泊にあるという民泊SIMとやらをホテルも使えるようになればいいのかも。

    • by Anonymous Coward

      ほんとに zero-trust なのは人間だってこと。
      企業の情報管理プロセスから人間を排除するなんてこといまや当たり前。
      いまどきの企業にとっては顧客すら zero-trust 。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...