読者です 読者をやめる 読者になる 読者になる

『 #セキュリティのアレ (11)「公衆無線LAN」の安全な使い方』をみた感想的なアレ

ここでは 2016/2/6 5 に掲載された「セキュリティのアレ」シリーズ『(11)「公衆無線LAN」の安全な使い方』を拝見した感想/メモ/雑記を書いています。

  • 「セキュリティのアレ」って?

@IT さんでシリーズとして掲載されている、セキュリティ専門家の方と @IT 編集部の方々が時事ネタを語るシリーズです。
今回拝見したのは↓
セキュリティのアレ(11):「公衆無線LAN」の安全な使い方 - @IT

以下、感想/メモ/雑記です。
---
「公衆無線 LAN を使っていますか?」(宮田さん)
「たまに使いますかね」(根岸さん)
「僕は結構使います。出張行くときは必ず。ホテルのとか」(辻さん)
「私たちは結構…原稿を書くとかで。おしゃれなカフェとかで」(宮田さん)

結構みなさん使っているんですね。そういえば私は基本的にモバイルルータかスマホテザリングを使用して(モバイルルータとテザリングの安全性はさておき)、公衆無線 LAN 問題が自分に当てはまらないようにしているなぁ、と。あとは公衆無線 LAN を使う場合の私的ポリシーを決めたり。たとえば下。

  • 普段使用しているブラウザは起動しない (Lastpass とかとかのプラグインが入っているので情報を送らないように)
  • ID、パスワードを使うサイトにはアクセスしない

とかとか

---

クラウド前提のサービス増えているじゃないですか」(宮田さん)

どこまでクラウドを使わなきゃいけないものがあったかなぁ。整理しておいた方がいいかも。

---

「(公衆無線LANの)サービスを提供している事業者?とかによって、結構サービスの中身がまちまちじゃないですか」(根岸さん)
動画内で出たサービス提供者の例は以下

  1. 通信事業者/キャリア
    • 「SIMの情報とかを使って認証、暗号化。端末ごとに違う鍵を使っている。比較的安全と思われる」
  2. 駅、空港などの交通機関
  3. ホテル、飲食店とかのサービス業

「問題になるとしたらSSID、パスワードが公開されているパターン」

2, 3 にあるあるのパターンですね。
---

「復号するための鍵がみな同じなんですよ」(辻さん)

根岸さん、続く話を聞きつつ首をひねる。
はて、pass phrase は同じだけど TEK は端末ごとで別モノになっているよなぁ…きっとざっくばらんに話す場だから簡単に言っているのだろう。

「暗号化してるための鍵ではもちろんあるとは思うんですけれども、そこのアクセスポイントに繋ぐための鍵だと思ったほうがいいと思うんですよ、どっちかというと、感覚的には」(辻さん)

根岸さん、大きく頷く。
会社が会社にだけに、聞き逃せないところだったんでしょうか(根拠のない憶測)
ちなみに「ieee802.11i」とか「wpa 4 way handshake」とか「wpa2 psk rfc」とかで確認してみました。

---

「無線 LAN のリスクって先ほど、盗聴っていうものがまず一個ありますけど、他に何かリスクとして挙げられるものは...」(宮田さん)

他に何があるのかなぁ。攻撃者は何をするにしても盗聴するしかないように思える。アカウント乗っ取るにしても情報収集する必要があると思うし、どこかのサイトの ID、パスワードを盗むにしても通信を掴む必要があるし。うん、どちらにしても盗聴スタート。方法に『飛んできている通信を掴む』(傍受といえばいいのかな)か、『間に入る』かの違いは作れるけど。

---

「数年前まではメジャーなサービスでもログインの時から http で、平文でっていうところはあったんですけど(以下略」(根岸さん)

そういえばいつだったか、九州で開催されるイベントの申し込みページ(だったかな?)が http で、Twitter がざわついていたことがあったようななかったような…(少なくとも複数年前なので忘れた)

---

「http『s』でログインを提供してるんだけれども、その http『s』 って書かれてあるところを http にすると、同じように平文のままでログインできるっていうのもあった」
「最近増えてきているのは http で繋いだら無理やり https しちゃうっていうみたいに、サービスの方でやってくれてるのが多い」

そういえば、サービスではないけど通信の HTTPSツールとして Firefox プラグインに 「HTTPS everywhere」なんてものがありましたね。
…それはそれとして常時 SSL/TLS が普通になるとなると、HTTP/2 はどの程度の速度感で普及するのかなぁ。
あと対応しているサイトでは Google, Twitter, Facebook, mixi なんかがいい例ですかね…どれも SNS ですね。

---

「どうしても(公衆無線 LAN を)使いたいって風になったときはどうしたらいいんでしょ」(宮田さん)
「どうしても使いたいっていう風に、しかも公衆無線 LAN を使った上でっていう風になってくると…なかなかこれはハードルがいきなり上がるんですけど(略」(辻さん)

ここ(セキュリティのトビラ (14) 公衆無線LANのリスクとその低減策を知る | マイナビニュース
無料の Private VPN「ZenMate」メモ – (n)
どちらも辻(@ntsuji)さんの記事、ブログ)のあたりですかね。

---

プライベート VPN の OS 標準機能化 / ウイルス対策ソフト付属機能化…うーん、ベンダに随時いろんな情報が流れていくことになるのか。それは心情的に嫌だなぁ。機能が付いたとしてもオフにしそうだ。

---

まとめ→動画をどうぞ

---

うん、まあ最後のまとめはコラムでよくある感じになっていたけど、タイトルの「安全な使い方」は結局「Private VPN を使いましょう」という理解でいいんでしょうかね?
ちなみにパッと調べてサクッと出てくる Private VPN の代表例は以下

ちなみに Tor はどうなの?って疑問を持った人は下の記事を持ちネタの参考までにどうぞ。
Monitoring Tor Exit Nodes for Malicious Activity
Tor盗聴のレポートが公開 クラッカーの戦いが丸見えに : SecsNews

あとはまあ公衆無線 LAN とは関係ないし、そもそもそんなないとは思うけど、一人でカフェに行っている時に席に PC とかを置きっぱなしにして雉撃ちとかお花摘みに行くなんてことはしないようにしましょうね。
…あー、そういえばこれは徳丸先生が書いていましたね。
五島夕夏がセキュリティのプロ 徳丸浩先生に一日密着!今すぐ使えるテクニックを盗んできました | NO MORE 情報漏えい