【IT】繁華街の公衆無線LAN 14%に情報漏えいの危険
■ このスレッドは過去ログ倉庫に格納されています
https://www3.nhk.or.jp/news/html/20180316/k10011367951000.html?utm_int=news-new_contents_list-items_026
3月16日 20時03分
東京オリンピックに向けて普及が進んでいる「公衆無線LAN」について、NHKが情報セキュリティー会社と共同で調べたところ、都内の主な繁華街では、暗号化されず、情報漏えいのおそれがあるものが、無線LAN全体の14%を占めていることがわかりました。専門家はクレジットカードなどの重要な情報を入力しないなど、リスクを踏まえて利用するよう呼びかけています。
「公衆無線LAN」は「フリーWi−Fi」などの名称で、ホテルや飲食店などを中心に普及が進んでいて、通信料金を気にせずインターネットに接続でき、外国人観光客の需要も多いことから、東京オリンピックに向けて国も整備を後押ししています。
こうした公衆無線LANの実態について、NHKは情報セキュリティー会社と共同で、利用者の多い新宿、渋谷、六本木、それに秋葉原の街頭で安全性を検証しました。
その結果、企業や個人が設置した無線LANも含めて、受信したアクセスポイント1700か所余りのうち、暗号化されていない公衆無線LANが14%余りを占め、そのほとんどで第三者に通信内容を盗み見られたり、サイバー攻撃に悪用されたりするおそれがあることがわかりました。
こうした公衆無線LANは利用者が集まる場所ほど多く、新宿・歌舞伎町では同時に受信したアクセスポイントのうち40か所が、渋谷のハチ公前広場では29か所が暗号化されていませんでした。
さらに、全体のおよそ72%が共通のIDやパスワードで暗号化する方式を採っていましたが、こうしたIDやパスワードが店舗に貼り出されるなど、誰でも知りうる状態だと、同じように通信の内容を盗み見られるおそれがあるということです。
NHKとともに調査を行った、PwCサイバーサービスサイバーセキュリティ研究所の神薗雅紀所長は「公衆無線LANは、インターネット接続の利便性が高まる一方、日本はリスクの認知度が低い。クレジットカードをはじめ、重要な情報を入力しないなど、リスクを踏まえて利用してほしい」と話しています。
どんなリスク?
暗号化されていない公衆無線LANのリスクを確かめるため、情報セキュリティー会社の研究室で模擬的な環境を作り、会社が設定した通信の内容が見えるかどうか実験しました。
この中で、暗号化されていない無線LANを通じて、スマートフォンから会員制のサービスにログインしたところ、入力したIDやパスワードが、特殊な技術で通信を傍受した別のパソコンに表示されました。
こうした方法を使うと、セキュリティーの弱いサイトではメールや画像のほか、クレジットカードの情報など機微な情報を盗み出されるおそれがあるほか、認証が必要な公衆無線LANでも暗号化されていなければリスクはあるということです。
また、安全上問題のある古い方式の暗号を使った無線LANで実験したところ、わずか5分ほどで暗号を解読してアクセスポイントを乗っ取ることができてしまいました。
さらに、何者かが本物に似た名前の偽のアクセスポイントを設けて、利用者の情報を盗んだりサイバー攻撃を仕掛けたりする手口も広がっているということです。
安全に使うには?
スマートフォンやパソコンの中には、暗号化された無線LANのアクセスポイントに鍵のマークを表示する機能があるものがあり、これを使えば暗号化されていないものを簡単に見分けることができます。
また、暗号化されていない公衆無線LANに接続しても、情報を検索したりホームページを見たりする範囲であれば問題はありませんが、クレジットカードの情報や仕事の情報など、機微な情報のやり取りはしないことが重要です。
やむをえず利用する際は、アドレスが「https」で始まる暗号化されたサイトに接続先を限るなどして安全を確保する必要があります。 こんなもん同じSSIDで嘘AP作られてたら、WiFiの暗号なんか何の意味もなくなるよ。 やはり犯罪に加担するようなWifiは
いらないということだな wifiが脆弱でも、上位レイヤーでTLS張ってれば安全だろ >>2
どゆこと?
同一SSIDとかやったことないがパスワード一致する方しか繋がらないのでは? >>8
パスワードも張り出されてんだから真似するなんて簡単。繋いて欲しけりゃ電波強めに出してりゃ良い。穴だらけなんだよ。 >>5
間に串通されたらどうなるんだろ
実際のSSLセッションはスマホと串の間で、串が接続先サーバとSSLを張るとか。
あとはこんな手口もあったね。
SSLが破られる -- ハッカーがMD5の衝突を利用してCA証明書の偽造に成功
https://japan.zdnet.com/article/20386042/
専門家じゃないからよくは分からんけど。 >>9
あぁ!
成り済まして、繋がった端末に入るのね >>5
あ、すまない
脆弱性のあるSSLじゃなくTLSの方の話でしたか >>15
広告バナーなんかにはTLSじゃなくMD5の証明書が埋め込まれてるバナーがまだまだある気がする 繁華街でフリーのApたてて観察したらとんでもないことになる >>12
串とスマホの間でTLSのネゴシエーションをすると、
正当なドメインの証明書がないから、証明書エラーになる
ドメインの所有者以外がそのドメインのの証明書持ってたらそれは大変な問題
wifiの脆弱性なんかどうでも良いレベル >>20
意味ない。今どき電波盗聴なんか誰もしない。 >>20
そもそも、AESでも暗号キー知ってれば複合可能 暗号化されてないWIFiがあったとしてどうやればログイン名やパスワードを知ることができるの?
専用ソフトがあるの? >>1
ログインする情報httpsなどで暗号化されてないの? 今の無線LANの仕様って、公衆無線LANには向いてないよな
セキュリティ確保しようとしたらVPNとかで確保するしかないし てか、たとえばドコモの0001docomoだけ使ってたりしても危険なの? lan
ガッツだぜ、愛は勝つ、それが大事
そして2018年は
『人生はリベンジマッチ』
↑
名曲、ユーチューヴ検索 情報漏えいの危険?
おまえらアホがやり取りする情報()には何の価値も無いんだから
漏れても何の損失もない 悪徳企業が通信インフラをどう使っているか?
高速で犯罪する時代へ、わざわざ、受け子は必要なくなるんだろうな。 >>28
たとえばうちの無線ルーターのSSIDを0001docomo にするのは簡単。 そもそもフリーの無線接続ではなく
誰か勝手に置かれてる暗号化されてない野良APに繋がる可能性もあるよね >>26
それ不思議だよな?w
この記事とかNHKニュースとか、寝ぼけたこと言ってんなって感じ。 >>1
>クレジットカードの情報や仕事の情報など、機微な情報のやり取りはしないことが重要です。
>やむをえず利用する際は、アドレスが「https」で始まる暗号化されたサイトに接続先を限るなどして安全を確保する必要があります。
今時どこにクレカ情報平文で入れさすサイトがあるんだよ
仕事だってVPN張るだろ ブラウザで普通のページ見るだけなら全然全く少しも問題ない。
情報とか番号を入力するやつが一定数いるんだろ。 >>37
それだって暗号化されてるから。
無線部分が暗号化されてれば安全っていいたげなアホ調査w ソフバンのLANまじうざい
繋がらんのに入ってくんな >>39
一度も使ってないWi-Fiなら電波拾わないはずなんだが
ソフバンのスマホだと無効にもできない? 野良Wi-Fiってやつ?
Wi-Fi繋いだこと無いから全然知らないけど
なんか気持ち悪くて繋いでない ■ このスレッドは過去ログ倉庫に格納されています