無料 Wi-Fi の危険性


■無料 Wi-Fi の危険性

読売新聞の記事。

暗号化せず無料Wi―Fi提供、自治体の45%
http://www.yomiuri.co.jp/national/20180126-OYT1T50049.html

2020 年の東京オリンピックに向けて、

サイバーセキュリティの確保が重要!

なんて声高に叫んでいる割には、

現実は所詮こんなもんですよ。

一般的に信頼されやすい公共機関の Wi-Fi でもこの状態。

むしろ民間企業が提供する無料 Wi-Fi の方が安全かも知れない。



一般的には

・公共機関の物だから安全でしょ?

・まさか盗む人とかいないでしょ?

とか思いやすいもの。

なので、暗号通信を選択出来ないという事自体、問題だとは思う。

ただ、望ましくないとはいえ、実はあまり問題はない。

なぜなら、無料 Wi-Fi の場合、暗号通信に実質意味はないから。

もちろん、

・Wi-Fi の電波が届く範囲にいる

・Wi-Fi のパスワードは知らない

という攻撃者に対しては、意味はある。

が、実際には、

・無料 Wi-Fi のパスワードは当然公開されている

・仮に分からなくても、大体 SSID と同じである
*または凄く簡単なパスワードである

という形になっているので、電波がとれれば誰でも分かる。

さらにいうと、盗聴したいのであれば、別に電波盗聴は不要。

攻撃者自身が無料 Wi-Fi のネットワークに入ればよい。
*誰でも入れるのだから攻撃者も入れる。

そうすれば、

パケットは盗聴できるのか!?

で書いたように、

・その Wi-Fi ネットワークに接続している人の通信

は、簡単に見れる。
*https 等で、別の暗号化をしていない限り、だが。

 

ということで、暗号化するに越したことはないが、

「暗号化していない」

こと自体は、実はそんなに問題ではないと考える。



では、この読売新聞の記事は、

危機感を煽るだけの提灯記事か!?

というと、そうではないと思っている。

記者の方が、

・暗号化してないなんて大丈夫なの!?ダメじゃないの!?

と思う気持ちも理解できるし、

・暗号化されてない!

を前面に出した方が、よっぽど読者を惹きつけると思う。

ただ、この記事の大事な所は、後半にある。

詳しくは記事を見ていただきたいが、

・安全対策プログラムの更新状況

について記載してある。

こっちの方がよっぽど重要極まりないのだ。

いわゆる、セキュリティアップデートを行わないと、

・広く知られた脆弱性が残留し続ける

という状態になってしまう。

そうすると、

・機器に侵入される(root 権限で乗っ取られる)

・ウィルスに感染させられる

などという深刻な自体が生じうる。

実際、ルーターなどはもっとも狙われやすい機器であり、

脆弱性も数多く発見、公表されている。

なので、

・適切にセキュリティの更新が行われていないルーター等

にうっかり接続してしまうと、

・知らない間にウイルスに感染させられる

などという状況が一瞬で起こり得る。

これに関しては、接続側の機器で、

・きちんと適切なタイミングでセキュリティ更新をしている

という状態であれば、即感染、ということはあまりない。

が、ルーターが乗っ取られていれば、

「パスワードを入れてください」

「インターネット接続のために、このボタンを押してください」

などというダイアログを出され、

接続のために対応してしまう、なんていうことはざらにある。

実際、国内外を問わず、ホテルの Wi-Fi などでは、

・ルーターの脆弱性を利用して不正プログラムを実行させられる

などという事例が多々報告されている。

暗号化していないことよりも、

・適切に更新されていない

ということの方が、よっぽど問題なのである。



読売新聞の記事では、単に暗号化されていないことだけではなく、

更新されているかどうかの状況にまで言及してくれている。
*どれぐらい更新されているのか、は記事を見ていただきたい。

これまで述べてきた通り、無料の公衆 Wi-Fi においては、

暗号化されていることにあまり大きな意味はない。

攻撃者がその Wi-Fi ネットワークに入ってしまえば、

後は

パケットは盗聴できるのか!?

で書いた様な形で盗聴などできてしまうからである。

一方、セキュリティアップデートがなされていないことは問題。

こちらは、結局攻撃者が Wi-Fi 機器を乗っ取れる可能性があり、

そうなると、

「攻撃者が用意した(マルウェア配布用等の)攻撃用機器」

に接続しているのと同じことになるからである。

こういった理由もあり、私は基本的に、

・外(ホテル等を含む)でネットワーク接続はしない

ということを心がけている。

ネットワーク接続が必要な場合には、

スマホのテザリング機能を利用する様にしている。

また、どうしてもテザリングが使えない場合もあるため、

・スマホやパソコンのアップデートは常にしておく

ということを心がけている。

信頼の置けない環境でネットワークに接続する場合には、

単に、暗号化されているから大丈夫、と思わず、

こうした状況も考慮して繋ぐことが重要だと思う。

しかし、公共機関の自治体ですら(自治体だからこそ?)、

セキュリティに関してこのレベルである。

それこそ、こういったサービスを提供する場合には、

情報処理安全確保支援士(登録セキスペ)同等以上の資格保有者

の検査を受けること、等、

折角の国家資格なんだから、有益に活用すればいいのに

と思う、今日この頃であった。

 




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 タグ: , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください