【ＩＴ】繁華街の公衆無線ＬＡＮ 14％に情報漏えいの危険

[0001 みつを ★ 2018/03/16(金) 22:57:49.69 ID:CAP_USER9]

https://www3.nhk.or.jp/news/html/20180316/k10011367951000.html?utm_int=news-new_contents_list-items_026

3月16日 20時03分
東京オリンピックに向けて普及が進んでいる「公衆無線ＬＡＮ」について、ＮＨＫが情報セキュリティー会社と共同で調べたところ、都内の主な繁華街では、暗号化されず、情報漏えいのおそれがあるものが、無線ＬＡＮ全体の１４％を占めていることがわかりました。専門家はクレジットカードなどの重要な情報を入力しないなど、リスクを踏まえて利用するよう呼びかけています。

「公衆無線ＬＡＮ」は「フリーＷｉ−Ｆｉ」などの名称で、ホテルや飲食店などを中心に普及が進んでいて、通信料金を気にせずインターネットに接続でき、外国人観光客の需要も多いことから、東京オリンピックに向けて国も整備を後押ししています。

こうした公衆無線ＬＡＮの実態について、ＮＨＫは情報セキュリティー会社と共同で、利用者の多い新宿、渋谷、六本木、それに秋葉原の街頭で安全性を検証しました。

その結果、企業や個人が設置した無線ＬＡＮも含めて、受信したアクセスポイント１７００か所余りのうち、暗号化されていない公衆無線ＬＡＮが１４％余りを占め、そのほとんどで第三者に通信内容を盗み見られたり、サイバー攻撃に悪用されたりするおそれがあることがわかりました。

こうした公衆無線ＬＡＮは利用者が集まる場所ほど多く、新宿・歌舞伎町では同時に受信したアクセスポイントのうち４０か所が、渋谷のハチ公前広場では２９か所が暗号化されていませんでした。

さらに、全体のおよそ７２％が共通のＩＤやパスワードで暗号化する方式を採っていましたが、こうしたＩＤやパスワードが店舗に貼り出されるなど、誰でも知りうる状態だと、同じように通信の内容を盗み見られるおそれがあるということです。

ＮＨＫとともに調査を行った、ＰｗＣサイバーサービスサイバーセキュリティ研究所の神薗雅紀所長は「公衆無線ＬＡＮは、インターネット接続の利便性が高まる一方、日本はリスクの認知度が低い。クレジットカードをはじめ、重要な情報を入力しないなど、リスクを踏まえて利用してほしい」と話しています。

どんなリスク？

暗号化されていない公衆無線ＬＡＮのリスクを確かめるため、情報セキュリティー会社の研究室で模擬的な環境を作り、会社が設定した通信の内容が見えるかどうか実験しました。

この中で、暗号化されていない無線ＬＡＮを通じて、スマートフォンから会員制のサービスにログインしたところ、入力したＩＤやパスワードが、特殊な技術で通信を傍受した別のパソコンに表示されました。

こうした方法を使うと、セキュリティーの弱いサイトではメールや画像のほか、クレジットカードの情報など機微な情報を盗み出されるおそれがあるほか、認証が必要な公衆無線ＬＡＮでも暗号化されていなければリスクはあるということです。

また、安全上問題のある古い方式の暗号を使った無線ＬＡＮで実験したところ、わずか５分ほどで暗号を解読してアクセスポイントを乗っ取ることができてしまいました。

さらに、何者かが本物に似た名前の偽のアクセスポイントを設けて、利用者の情報を盗んだりサイバー攻撃を仕掛けたりする手口も広がっているということです。

安全に使うには？

スマートフォンやパソコンの中には、暗号化された無線ＬＡＮのアクセスポイントに鍵のマークを表示する機能があるものがあり、これを使えば暗号化されていないものを簡単に見分けることができます。

また、暗号化されていない公衆無線ＬＡＮに接続しても、情報を検索したりホームページを見たりする範囲であれば問題はありませんが、クレジットカードの情報や仕事の情報など、機微な情報のやり取りはしないことが重要です。

やむをえず利用する際は、アドレスが「ｈｔｔｐｓ」で始まる暗号化されたサイトに接続先を限るなどして安全を確保する必要があります。

[0002 名無しさん＠１周年 2018/03/16(金) 23:02:47.45 ID:ayokr9tR0]

こんなもん同じSSIDで嘘AP作られてたら、WiFiの暗号なんか何の意味もなくなるよ。

[0003 名無しさん＠１周年 2018/03/16(金) 23:02:52.59 ID:yjsdHPxo0]

フリーWIFIなんて使うな

[0004 名無しさん＠１周年 2018/03/16(金) 23:04:27.49 ID:k7G4Ijff0]

やはり犯罪に加担するようなＷifiは
いらないということだな　

[0005 名無しさん＠１周年 2018/03/16(金) 23:05:53.11 ID:CNnEIavE0]

wifiが脆弱でも、上位レイヤーでTLS張ってれば安全だろ

[0006 名無しさん＠１周年 2018/03/16(金) 23:06:22.46 ID:JvdcpJBn0]

今どきＴＬＳじゃない会員サイトなんてあるんだ

[0007 名無しさん＠１周年 2018/03/16(金) 23:07:02.37 ID:yIv3JwPa0]

日本は何をやらせてもダメだな

[0008 名無しさん＠１周年 2018/03/16(金) 23:12:59.92 ID:j+rAG2rw0]

>>2
どゆこと？
同一SSIDとかやったことないがパスワード一致する方しか繋がらないのでは？

[0009 名無しさん＠１周年 2018/03/16(金) 23:17:03.59 ID:ayokr9tR0]

>>8
パスワードも張り出されてんだから真似するなんて簡単。繋いて欲しけりゃ電波強めに出してりゃ良い。穴だらけなんだよ。

[0010 名無しさん＠１周年 2018/03/16(金) 23:18:09.62 ID:Yp7G2W2o0]

野良でクレカとかｗ

[0011 名無しさん＠１周年 2018/03/16(金) 23:18:36.95 ID:TZLR6cJk0]

”無料WiFiは危険”　＝　大手通信会社の妨害

[0012 名無しさん＠１周年 2018/03/16(金) 23:20:26.34 ID:zRbfafYV0]

>>5
間に串通されたらどうなるんだろ
実際のSSLセッションはスマホと串の間で、串が接続先サーバとSSLを張るとか。
あとはこんな手口もあったね。
SSLが破られる -- ハッカーがMD5の衝突を利用してCA証明書の偽造に成功
https://japan.zdnet.com/article/20386042/

専門家じゃないからよくは分からんけど。

[0013 名無しさん＠１周年 2018/03/16(金) 23:20:31.52 ID:j+rAG2rw0]

>>9
あぁ！
成り済まして、繋がった端末に入るのね

[0014 名無しさん＠１周年 2018/03/16(金) 23:22:11.94 ID:zRbfafYV0]

>>5
あ、すまない
脆弱性のあるSSLじゃなくTLSの方の話でしたか

[0015 名無しさん＠１周年 2018/03/16(金) 23:23:00.22 ID:8VZOBmi+0]

ガキしかつかわんだろこんなの(´・ω・｀)

[0016 名無しさん＠１周年 2018/03/16(金) 23:26:04.87 ID:zRbfafYV0]

>>15
広告バナーなんかにはTLSじゃなくMD5の証明書が埋め込まれてるバナーがまだまだある気がする

[0017 名無しさん＠１周年 2018/03/16(金) 23:31:39.35 ID:JJs+JtiO0]

繁華街でフリーのApたてて観察したらとんでもないことになる

[0018 名無しさん＠１周年 2018/03/16(金) 23:47:12.82 ID:surVaVOd0]

>>17
それは駄目なのでは

[0019 名無しさん＠１周年 2018/03/17(土) 00:08:41.65 ID:xg7tXgb50]

>>12
串とスマホの間でTLSのネゴシエーションをすると、
正当なドメインの証明書がないから、証明書エラーになる

ドメインの所有者以外がそのドメインのの証明書持ってたらそれは大変な問題
wifiの脆弱性なんかどうでも良いレベル

[0020 名無しさん＠１周年 2018/03/17(土) 00:11:21.63 ID:3M26TapE0]

暗号化されていない無線ＬＡＮって禁止にしたら？

[0021 名無しさん＠１周年 2018/03/17(土) 00:14:34.26 ID:xX3+05yQ0]

>>20
意味ない。今どき電波盗聴なんか誰もしない。

[0022 名無しさん＠１周年 2018/03/17(土) 00:25:08.65 ID:xg7tXgb50]

>>20
そもそも、AESでも暗号キー知ってれば複合可能

[0023 名無しさん＠１周年 2018/03/17(土) 00:27:43.38 ID:smqR/vhW0]

立件された事例はないけど被害はありそう？

[0024 名無しさん＠１周年 2018/03/17(土) 00:33:59.21 ID:f6KWByds0]

14パーしかないのかって感じ

[0025 名無しさん＠１周年 2018/03/17(土) 00:38:20.87 ID:D6Qm2KoB0]

暗号化されてないWIFiがあったとしてどうやればログイン名やパスワードを知ることができるの？
専用ソフトがあるの？

[0026 名無しさん＠１周年 2018/03/17(土) 00:39:00.06 ID:uZrAaA420]

>>1
ログインする情報httpsなどで暗号化されてないの？

[0027 名無しさん＠１周年 2018/03/17(土) 00:39:16.19 ID:J5/C+Nyh0]

今の無線LANの仕様って、公衆無線LANには向いてないよな
セキュリティ確保しようとしたらVPNとかで確保するしかないし

[0028 名無しさん＠１周年 2018/03/17(土) 00:40:02.62 ID:yPTReCPP0]

てか、たとえばドコモの0001docomoだけ使ってたりしても危険なの？

[0029 名無しさん＠１周年 2018/03/17(土) 00:53:23.99 ID:smqR/vhW0]

ドコモはいろいろとあるんだよな。

[0030 名無しさん＠１周年 2018/03/17(土) 00:59:32.08 ID:I3svyEXF0]

lan
ガッツだぜ、愛は勝つ、それが大事
そして2018年は

『人生はリベンジマッチ』
↑
名曲、ユーチューヴ検索

[0031 名無しさん＠１周年 2018/03/17(土) 01:00:07.03 ID:jT3zqeJd0]

情報漏えいの危険？

おまえらアホがやり取りする情報（）には何の価値も無いんだから

漏れても何の損失もない

[0032 名無しさん＠１周年 2018/03/17(土) 01:10:24.95 ID:smqR/vhW0]

悪徳企業が通信インフラをどう使っているか？
高速で犯罪する時代へ、わざわざ、受け子は必要なくなるんだろうな。

[0033 名無しさん＠１周年 2018/03/17(土) 01:14:23.87 ID:MrEkvLVn0]

>>28
たとえばうちの無線ルーターのSSIDを0001docomo にするのは簡単。

[0034 名無しさん＠１周年 2018/03/17(土) 01:16:44.47 ID:lrgXzDcO0]

そもそもフリーの無線接続ではなく
誰か勝手に置かれてる暗号化されてない野良ＡＰに繋がる可能性もあるよね

[0035 名無しさん＠１周年 2018/03/17(土) 01:35:36.62 ID:0uujKAy50]

>>26
それ不思議だよな？w

この記事とかNHKニュースとか、寝ぼけたこと言ってんなって感じ。

[0036 名無しさん＠１周年 2018/03/17(土) 01:48:40.46 ID:AnL/R3UR0]

>>1
>クレジットカードの情報や仕事の情報など、機微な情報のやり取りはしないことが重要です。
>やむをえず利用する際は、アドレスが「ｈｔｔｐｓ」で始まる暗号化されたサイトに接続先を限るなどして安全を確保する必要があります。
今時どこにクレカ情報平文で入れさすサイトがあるんだよ
仕事だってVPN張るだろ

[0037 名無しさん＠１周年 2018/03/17(土) 01:59:18.16 ID:h9BpYuxp0]

ブラウザで普通のページ見るだけなら全然全く少しも問題ない。
情報とか番号を入力するやつが一定数いるんだろ。

[0038 名無しさん＠１周年 2018/03/17(土) 02:03:35.34 ID:0uujKAy50]

>>37
それだって暗号化されてるから。

無線部分が暗号化されてれば安全っていいたげなアホ調査w

[0039 名無しさん＠１周年 2018/03/17(土) 02:20:27.13 ID:Nl/zVDEG0]

ソフバンのLANまじうざい
繋がらんのに入ってくんな

[0040 名無しさん＠１周年 2018/03/17(土) 02:56:37.22 ID:uZrAaA420]

>>39
一度も使ってないWi-Fiなら電波拾わないはずなんだが
ソフバンのスマホだと無効にもできない？

[0041 名無しさん＠１周年 2018/03/17(土) 04:37:11.89 ID:iXRAiyvP0]

野良Wi-Fiってやつ？
Wi-Fi繋いだこと無いから全然知らないけど
なんか気持ち悪くて繋いでない