パスワードを忘れた? アカウント作成
6235 story

無線LAN盗聴に罰則を検討 88

ストーリー by GetSet
法整備で利用者の意識向上を狙う? 部門より

37A曰く、"朝日新聞によると、総務省が無線LAN盗聴を禁止し、罰則を設ける法案を提出する模様。
現行の法律では、携帯電話やPHSの電波は電気通信事業法によって傍受が禁止されているが、無線LANに関しては、電波法の対象で傍受が禁止されていない。(ただし、電波法でも、傍受した情報を第三者に漏らすことは禁止されている) これに対し、傍受を禁止し罰則を科すようにするもので、電波法の改正法案となるとのこと。
ただ、罰則の対象となるのは暗号化されているものに限り、暗号化されていないものの傍受には罰則を設けないとのこと。これは、暗号化情報の傍受に対して罰則を設けることにより、利用者に暗号化を促すのと、たまたま傍受してしまった場合を罰則の対象にしないためだそうだ。実際に、罰則が科される際には、「たまたま」か「意図的か」が争点になるのですな。
無線LAN内蔵のPCを片手に街中を歩いていると、そこかしこのビルの前で暗号化されていないLANが見つかります。みなさん、無線LAN、暗号化してますか?"

また、ncube2曰く、"ところで最新の日経コミュニケーションによると、皇居一周ウォードライビングってのやったところ、検出できたIEEE802.11bのAP406個の内の168個はWEPがかかってなかったそうで、こんなのは電波法改正後に中身見られてもお咎めなしになる訳で、そろそろ無線LANのベンダーも工場出荷時にはせめてWEP位は有効にしておいてもいいんじゃないかな?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 電波の傍受 (スコア:4, 参考になる)

    by baffclan (9449) on 2003年07月30日 10時35分 (#368483) ホームページ
    オフトピですが気になるのは
    > 携帯電話やPHSの電波は電気通信事業法によって傍受が禁止されている
    という記述です。
    電波法第59条では傍受は問題ないと解釈できます。
    電気通信事業法で傍受してはいけない電波があるというのは初耳でした。
    (検索したけど見つけられませんでした。)

    無線LANの場合、コネクションを張るので他人の設備の無断使用になるので
    窃盗罪、威力業務妨害などの方が適切に思います。
    万人に対して接続できる設定をしておきながら、繋げてきたら処罰されるのは
    なんとなく解せません。
    • 法律の探し方 (スコア:2, 参考になる)

      by a Coward (5383) on 2003年07月30日 15時04分 (#368716) ホームページ
      >(検索したけど見つけられませんでした。)
      法令データ提供システム [e-gov.go.jp]で法律はみつかります。
      親コメント
    • Re:電波の傍受 (スコア:1, 参考になる)

      by Anonymous Coward on 2003年07月30日 11時48分 (#368567)
      >電気通信事業法で傍受してはいけない電波があるというのは初耳でした。

      総務省の説明(5-1) [soumu.go.jp]によると、携帯電話の電波を傍受することは、「その通話が携帯電話会社など電気通信事業者の取扱中に係る通話で」あるため、「原則として」「電気通信事業法第4条に違反」するそうです。(原則と断ってある意図は不明)

      電気通信事業法第4条は事業者の社員などが業務上知りえた通信内容を漏らしたり、通信の傍受そのものを行うことを禁ずるだけでなく、通信事業者が免許を受けて設置した無線局を使っての通信は「電気通信事業者の取扱中に係る通話」と解釈されるということでしょうか。
      親コメント
      • Re:電波の傍受 (スコア:2, 参考になる)

        by a Coward (5383) on 2003年07月30日 14時16分 (#368684) ホームページ
        >(原則と断ってある意図は不明)

        あっても無くても普通は一緒ですが、普通じゃない事態に
        備えた逃げ口上です。役人の慣用句というべきでしょう。

        電気通信事業法の4条と104条から

        ・二年以下の懲役又は百万円以下の罰金

        ですね。でもこの罰則、他人の手紙を勝手に開ける
        (一年以下の懲役又は二十万円以下の罰金)
        より重いんです。何か変な気がします。
        親コメント
  • IPA の対処方法 (スコア:2, 参考になる)

    by Anonymous Coward on 2003年07月30日 10時03分 (#368454)
    最近出ていた IPA の対処方法 [ipa.go.jp]が詳しかったっす。何もしていない人はこちらを参考にした方がいいと思います。
  • 朝日新聞記事で指摘されていないのですが、これは「欧州評議会サイバー犯罪条約 [coe.int]批准にむけた法整備」の一環であるように思われます。

    条約本文 [coe.int]の第三条では犯罪化すべきものとしてIllegal interception(違法盗聴)をあげています。さらにこの本文の解説文書であるExplanatory Report [coe.int]をみると、 暗号化しない無線LANは対象に入れる必要はないであろうこと、 tempest傍受も違法化の対象となるであろうこと、 などが読み取れます。

    この条約のfinal draftの仮訳は明治大学の夏井教授によるもの [meiji.ac.jp]が有名。 署名された条文の外務省訳もあるはずだけど、URLは失念。 解説文書の日本語訳はインターネット上での公開はまだなかったんじゃないかと...。

    なお、私の意見としてはサイバー犯罪条約の批准には反対ですが、 ここで問題の法案そのものについては、ものが出ないとなんともいえないです。

    • by Anonymous Coward on 2003年07月30日 15時51分 (#368746)
      こんな報道がありましたが、本当のところはどうなんでしょうか。
      • 毎日:サイバー犯罪条約「米英で批准の動きなし」 反監視団体 [mainichi.co.jp]
        「条約採択から2年がたつが、批准したのはブルガリア、アルバニア、クロアチアの3カ国のみ。米国は、この条約を自ら批准するのではなく、国内法が整っていない発展途上国に導入させる目的で推進してきた。いわば、途上国向けであり、日本がサイバー犯罪のグローバル化に対応する規制を検討する場合でも、この条約をたたき台にすべきではない」と語った。
      親コメント
    • この報道を信ずれば、そのようですね。
      http://www4.nikkeibp.co.jp/NCC/news_top10/f_ncc3755.html
      親コメント
      • となるとですね、これ「無線LAN」に限定されないはずで、 いろいろと問題があるような気がしてきました。

        まずおもいつくのは、脆弱性研究への悪影響です。 無線LANに限っていえば、 自分の無線LAN設備の通信に自分でアタックするのであれば、 違法性は問われないでしょう。 問題は、デジタル放送関連ですね。 今でも CS や BS のデジタル放送があるわけですが、 これから国策で地上波デジタル放送もはじまることになっています。 BS や CS はチャンネルごとの契約や PPV があるので、当然、暗号化されてるわけです。 地上波でも、著作権コントロールの関係で無料チャンネルでも暗号化されるとのこと。 サイバー犯罪条約の文脈では、コンテンツがパブリックでも 伝送がパブリックでなければ、違法傍受という罪が成立することを 求めていて、解説文書ではPay TV を具体例として明示しています。 これらの放送での暗号方式について、 放送側の設備にアクセスできない人が放送電波を受信した上で 脆弱性の探索を行うと、それが即、罰せられるべき行為、ということにされるような気がします。 現状の著作権法での権利コントロール迂回についての罰則にくらべて、 きわめて適用範囲が広いと思われます...。

        なお、BSやCSの有料放送のための受信機器のICカードに対して攻撃を仕掛けて情報を得ることは 現状でも契約違反になる(それらは「貸与」されているだけでユーザの所有物ではありません)し、不正アクセスと解釈される可能性もある点、一応お断りしておきます。ここで述べているのは、それら抜きに、純粋に検波して信号処理していろいろ演算して、ということで解読することを意味しています。

        親コメント
  • by anoh (12339) on 2003年07月30日 9時56分 (#368450) ホームページ
    暗号化はしていないけどMACアドレスで制限をかけています。
    この程度で不慮の覗き見は弾けたりできないんでしょうか(128ビットの暗号化、桁数が多すぎてパスフレーズを忘れてしまいそうなので)。
    --
    ---- あのー( ̄△ ̄;
    • by ken (975) on 2003年07月31日 1時15分 (#369109) ホームページ
      MACアドレス制限は、「アクセスポイントへの接続の可否」を決めるものであって、「不慮の覗き見」を防止するものではありません。

      #ここでいう「不慮の覗き見」とは、たとえば、「社内無線LANの性能が
      #あがらないので調査するために無線パケットモニターを動かしていたら
      #anohさんのデータが入って来てしまった」・・・とかそういうことを
      #指しています。

      「不慮の覗き見」を防止したいのなら64ビットでもいいから、WEPを掛けることです。
      --
      -- ----- Kensuke Nezu, Samba Users Group Japan
      親コメント
    • by Anonymous Coward
      どうしてそんな想像ができるのさ・・・
      アクセスポイントにはじかれるだけでしょ。

      空中を飛び交うフレームは傍受し放題。
      • by Anonymous Coward
        あ、「不慮に」か。
        そういうツール使ってない人は、フィルタされてれば
        「不慮に」フレーム傍受することはないだろうけどね。
      • by Anonymous Coward
        空中を飛び交うフレームは傍受し放題。

        フレームの元?

        うわ~ん、ごめんなさいなのだ~、なのでAC

    • by Anonymous Coward
      無線だと特定のMACアドレスを持つ機器に対してだけ投げるというわけに行かないので、
      投げてくる分を捨てるのはともかく、拾おうとするのを防止は出来ないんじゃないでしょうか。

      盗聴されないためにはやはり暗号化するしか。
    • by Anonymous Coward
      うちもMACアドレスで制限かけてるだけです。
      11aなので利用者少ないし、電波飛ばないし
      屋外で使ったら電波法違反だしね。
      • by fukapon (4131) on 2003年07月30日 12時56分 (#368638)

         傍受するだけなら電波法違反になりませんよ。

        親コメント
        • by ncube2 (2864) on 2003年07月30日 13時16分 (#368655)
          IEEE802.11aを屋外で使うことが違法ということでは?
          親コメント
          • 屋外だろうがアンテナ改造しようが送信しなければ電波法違反になりませんよ。
            親コメント
          • by ken (975) on 2003年07月31日 1時28分 (#369121) ホームページ
            >IEEE802.11aを屋外で使うことが違法ということでは?

            まだ、a/b/gの3モードAPを買ってきただけで確認していないことを前置きした上で・・・。

            現状では、Atherosの3モードカード+Atheros(またはOEM)のWindowsドライバを使った限りでは、チャンネルサーチの状態を見る限りでは、APからの電波が届いたら屋外にいようがいまいが11aで接続してしまうような気がします。

            #Atherosのドライバが作られている米国では屋外でも違法じゃないから
            #そういう作りになっているものをそのまま持ってきてるみたい・・・。

            よく、このまま出荷できるな~と思った次第。

            WindowsXPではないですが、「機器が勝手につないでしまった」場合は、多分、違反者が「意図」してつないだものではないので、違法行為は問われないのではないかと思います。
            また、「生命の危険などがともなう業務には絶対に使用するな」って最近のコンピュータ系の製品には書かれているのはPL法が適用されないようになのではないかと思いますので、販売・製造者にもPL法は適用できないような気がします。

            ちなみに、現状のa/g製品を使用している人は、AES/TKIP対応ファームが出たら、「必ず」アップデートしないといけません。実効速度が5倍になっているということはWEPクラックも1/5の時間でできてしまうというで、手元で11bで64ビットは5時間くらいでとけてしまったので、a/gで64ビットだと1時間(!)で解けてしまうという事になります。
            --
            -- ----- Kensuke Nezu, Samba Users Group Japan
            親コメント
  • by petashin (7787) on 2003年07月30日 10時02分 (#368453)
    自宅では Wi-Fi対応でない無線LANの機器がありまして、
    暗号化しなくても一般的な機器からは繋がらなかったりします。

    しかしいま無線LANの機器を買おうとしたら当然対応の物しかないわけだし、
    暗号化無しがデフォルトですから設置数が増えるだけフリーアクセスの
    ポイントも増えてしまいますね。(いくらやれと言ってもやらない人は常にいる…)

    暗号化が広まるには
    ・もっと高速で(乗り換えさせる理由)
    ・暗号化しないと通信できない
    規格でも出来ないと。

    #あー、デフォルトパスワードが広まってしまったら一緒か…
    • by ken (975) on 2003年07月31日 1時59分 (#369129) ホームページ
      >暗号化が広まるには
      >・もっと高速で(乗り換えさせる理由)
      >・暗号化しないと通信できない
      >規格でも出来ないと。

      私も当初は規格の問題かと思っていましたが、メーカー出荷時にWEPを設定して出荷してもWi-Fi上は問題ない(Wi-Fiの11bのテストでは初期化状態でWEP offでつながればよい)ので、実は、Aterm WL11APワイヤレスLANセット「ETHERNE タイプ」/「11bカードタイプ」 [121ware.com]のように64ビットWEPが設定された上で出荷されているものもあります。

      #要は、メーカー側の姿勢の問題でしょう。

      あと、「規格」というよりは、デフォルト暗号化がWi-Fi Certifiedの必須条件になるだけでいいんですが、さすが業界団体という言うべきか、そういう方向では話は進んでいないようです。
      --
      -- ----- Kensuke Nezu, Samba Users Group Japan
      親コメント
      • by snitch (10903) on 2003年07月31日 2時24分 (#369141) 日記
        AtermのワイヤレスLANセットでWEP(といっても64bit(40bit))がデフォルトで設定されているのはETHERNETタイプのみです。
        PCカードタイプはWEPが設定されていません。

        ETHERNETタイプについてはPC側のWEPの設定をするのではなく、子機に対してWEPの設定をするという構成になっていますのでWEPをデフォルトでONにしているようです。

        日経ネットワークセキュリティ 無線LANパニック [nikkeibp.co.jp]
        で読みましたが工場出荷時でWEPが設定されていないのは、
        WEPが設定されていると繋がらんという電話がサポートに
        殺到するから(だろう)という理由とのことです。

        また、高木浩光@茨城県つくば市の7月29日の日記 [hatena.ne.jp]で知ったのですが
        総務省に意見書も出ていることですし、ベンダーにはデフォルトで
        WEPがONになっていない無線LAN機器を高セキュリティだとパッケージに表記して売らない
        など、何らかの姿勢の変更をお願いしたいですね。
        親コメント
    • >#あー、デフォルトパスワードが広まってしまったら一緒か…

      ・AP本体の管理者パスワードを設定しないと無線機能がONにならない
      ・APのWEPを設定しないとAP以外との通信がレイヤ2で許可されない

      これくらいはやって欲しいですね。

      #WEB設定画面に初めてアクセスすると管理者パスワードを設定
      #しないと設定画面に行かないNECの11b AP製品とか、LANがつな
      #がっていないと無線機能がONにならない富士通の11b AP製品、
      #無線機能のON/OFFができるのに出荷時設定がONの11b AP製品
      #とかはあるんですけどねぇ・・・。
      --
      -- ----- Kensuke Nezu, Samba Users Group Japan
      親コメント
    • >#あー、デフォルトパスワードが広まってしまったら一緒か…

      デフォルトパスワードを製品固有のものにするしかないですね。。
  • by ncube2 (2864) on 2003年07月30日 10時29分 (#368479)
    >罰則の対象となるのは暗号化されているものに限り

    NetStumblerはOKでもAirSnortは下手に使うとダメってことかい。
  • by Anonymous Coward on 2003年07月30日 10時07分 (#368457)
    重要なデータを取り扱うようなところでは有線LANがそもそもの常識でわ...
    無線LANは便利かもしれないけど、データ(暗号化していたとしても)傍受される危険性は常にはらんでいるわけで...

    #私の常識間違ってる?
    •  ・・・・仰ってることは全くその通りなんですがbold多すぎです(苦笑)<余計なもの:-1

       それはともかく、総務省がどうのというのは脇に置いておいても啓蒙
      活動として見ると政府がやる前にメーカーが自主的に「こうしてくださ
      い」と動いて欲しいところ。
      --

      -----
      スケーター12号〜(┌  ┌  ┌  ´Д`)┘
      親コメント
    • by Anonymous Coward
      >重要なデータを取り扱うようなところでは有線LANがそもそもの常識でわ...

      つながないというのがそもそもの常…
      #ごめんなさい、ごめんなさい
    • by Anonymous Coward
      私も、自分の周りで、とくに仕事場では、 「絶対に」無線LANアクセスポイントを会社のLANにつなげないように、と、言っています。IPアドレスのみならず、MACアドレスのSpoofingも、無線環境のSniffingもやり放題である現在、無線LANの設備を会社とか国の施設とか、研究所とかで使うこと自体が、全くの無謀な行為そのものだ、ということをちゃんと認識すべきです。

      もちろん、正しい知識でネットワークの設定も含めて考えれば、それなりに安全なものはできないことはない。しかし、現状のように知識が豊富な人が少なく、製品はあふれるがごとくに市場にある、という状況では、まともな設定が
  • by Anonymous Coward on 2003年07月30日 10時10分 (#368460)
    総務省のこの手の発表が多いのか?

    1.NTT救済策
    2.来年度予算獲得の動き

    のどちらか、あるいは両方なんでしょうと思いますが、一方、なぜかIPAなど経済産業省系が静かなんですよね。
    • by Anonymous Coward
      『1.NTT救済策』ってのは何? マジわからん。 解説プリース > 誰か
  • by Anonymous Coward on 2003年07月30日 10時48分 (#368499)
    具体的な法案がでていないので、うがった見方かも知れないが、暗号化された電波には、警察無線も含まれるのでは? デジタル化されさらに暗号化された警察無線も、パソコンの性能が高くなるにつれて、復号できるようになってきたと言う話も聞く。無線LANをきっかけにして、電波法を改正するのであれば、ついでにやってしまう可能性大。

    #ラジオライフ愛読者なのでAC
  • by Anonymous Coward on 2003年07月30日 12時04分 (#368579)
    本法律が成立し不正な接続があった場合、が訴えるのでしょうか?
    企業のネットワークならば管理者の怠慢であり、事実が公になれば企業イメージが低下するのは明らかです。
    個人ユーザの場合、不正アクセスを防止する措置を説明しきれないネットワーク機器製造メーカが
    PL法に抵触するのではないでしょうか。
    設定マニュアルが厚くなり、ただでさえマニュアルを読まないユーザを狙った不正接続が
    増える気がします。
    • >本法律が成立し不正な接続があった場合、誰が訴えるのでしょうか?

      原則として、検察です。

      # 民事じゃないんだからさ
    • 不法行為の告発なら、あなたがまず当局に告発してください。
      捜査当局が必要と判断すれば捜査しますし、その上で立件可能な材料がそろえば検察が起訴するかも知れません。
      よほど大きな社会問題にでもならない限り、誰も告発しなけりゃ何も起きません。

      もしあなたが被害者であるならば、あなた自身が原告となって提訴してください。
  • by Anonymous Coward on 2003年07月30日 12時26分 (#368602)
    無線LANに限定しない方がいいんじゃないかと思います。 ケーブル・モデムもパケットの盗聴をしやすいってことで CERT/CC の警告 [cert.org] が出てますよ。
  • by Anonymous Coward on 2003年07月30日 12時36分 (#368618)
    いいお客さんを招き入れてパケット監視してる分にはいいんだろうか?
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...