パスワードを忘れた? アカウント作成
Close
6279 story

無線LANのセキュリティガイドライン-JEITA 24

ストーリー by wakatono
やっと動きが活性化 部門より

nekopon 曰く、 "日経の報道によると、経済産業省は6日、 無線LANのセキュリティ基準を策定したとある。これ、実体はJEITAによる無線LANのセキュリティに関するガイドラインのことのようだ (リリース文)。 内容はおおざっぱに

  • 無線LANの危険性を啓発するのはメーカの責任
  • 実際にセキュリティを保つべきはユーザの責任

……といったところ。数日前の 無線LAN傍受の違法化?と併せ、政府といえども無線LANの利便性と危険性に気づいてきたのかな、と思う。

え、単なる縄張り争いだって? それは言わない約束でひとつ……"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無線LANのセキュリティガイドライン-JEITA More

  • JEITAのページ [jeita.or.jp]に書かれているとおり、

    ・SSIDを設定する(ただし、場所を類推されない名前をつけること)
    ・WEPを設定する(128ビット、16進数で入力)
    ・クライアントのMACアドレスによるアクセス制限

    現状ではこの程度やっておけば、まず問題ないと思います。
    AirSnort [shmoo.com]で128ビットWEPキーを解析するよりも、
    ソーシャルエンジニアリングのほうが現実的のような気がします…。

    そう考えると、

    ・アクセスポイント自体にパスワードを設定する

    のほうが重要かもしれません。内部からブラウザで設定情報を
    読み上げてもらうようなソーシャルエンジニアリングは、これで防げますので。

    • Re:普通の家庭で使用するなら (スコア:2, 参考になる)

      by ken (975) on 2003年08月07日 16時12分 (#374240) ホームページ
      >・SSIDを設定する(ただし、場所を類推されない名前をつけること)
      >・WEPを設定する(128ビット、16進数で入力)
      >・クライアントのMACアドレスによるアクセス制限
      >
      >現状ではこの程度やっておけば、まず問題ないと思います。

      私も128bitの解読可能性から考えて、収集しなければならないパケット数
      等と考え合わせてそれでも良いと思っていましたが、現状、11a/gでは
      WPAのTKIPやAESを使わない限り、従来の1/5の時間でパケット収集ができて
      しまうことや、11g/aユーザでAV機器やストリームを流す人たちが増えつつ
      あることを考えると、あまり安穏にしていられないのではないかと思う
      ようになりつつあります。

      #技術の進歩とのおっかけっこですよね。

      なので、11g/a製品を買われている人は、WPA対応/AES対応ファームが出たら
      速やかに、確実にファームのバージョンアップが必要だと思います。
      --
      -- ----- Kensuke Nezu, Samba Users Group Japan
      シェア
      親コメント

  • メーカーやプロバイダは大変だと思う。 (スコア:2, すばらしい洞察)

    by joecool (4644) on 2003年08月07日 1時47分 (#373728)
    JEITAのガイドラインには異論は無いのだが、市販されているアクセスポイントのデフォルトの設定はほとんどがセキュリティ筒抜け状態になっていて、逆にセキュリティがちがちのデフォルトにするとユーザからの問い合わせが大変になってしまうところに、企業のジレンマがあります。
    「あの製品は難しい」という評判になって売り上げを落としたり、サポートコストを上昇させない為に、簡単にせざるを得ない訳です。

    Yahoo!BBの無線LANパックなんかはデフォルトは全ユーザ共通のESSIDでWEP無しなので、つなぎ放題なんですよね。しかも設定の変更は有線LANでやらないといけないので、有線のインターフェースを持っていなくて無線LANパック付属の無線LANカードでしかアクセス手段が無い人はいつまで経っても穴だらけのデフォルト状態です。
    これもデフォルトでWEPを設定してしまうと只でさえサポートの電話が繋がらなくて大変なのに、もっと大変な事になってしまうんでしょう。

    じゃあどうすれば?って結論はありません。すみません。
    • デフォルト設定でセキュリティをスカスカにしようと、ギチギチにしようと、デフォルト設定を変えないユーザは変えない。
      「デフォルトを厳しくしておくべき」というのは、デフォルトから変えないユーザがいるからこそ言われてる意見ですが、ギチギチにしてても、全製品で同じSSID/WEPキーなら、メーカー/製品がわかってしまえばSSIDもWEPキーもわかってしまうので意味が無い。
      それに、「WEP無しはヤバイよな」程度には知識がある人でも、デフォルトでWEPがかかってたらそのまま使ってしまう可能性もある。そうなると全製品で同じWEPキーなら余計に危険になってしまう(

  • WEPも駄目駄目 (スコア:2, 参考になる)

    by piper (15067) on 2003年08月07日 9時32分 (#373894) 日記
    この記事 [impress.co.jp]を読むとWEPを設定してあってっも単なる気休め
    みたいなものようですね、なにしろWEPの鍵が平文で送られる仕組みだとか
    おいらも家で無線LANを使っていますが、先日ログを調べていたら見知らぬMACアドレスが6件も
    有りましたのでこまめなログチェックと、重要な内容は有線LANを使うようにしました

    • Re:WEPも駄目駄目 (スコア:0)

      by Anonymous Coward
      平文で流れるのは暗号鍵の生成に使う値(IV)ですね。
      # ミスリードしそうなので念のため。

      さらに詳しくはWEPに何があったのか? [ibm.com]あたりでも。

      ま、どっちにしろダメダメです:p
    • MACアドレスなんていくらでも偽造できるし、ネット上に流れるし。

      参考:
      http://www.klcconsulting.net/Change_MAC_w2k.htm

      まだたくさんあるけどこんなところで勘弁してね。
      • とはいえ、設定されているMACアドレスを見つけるのは
        passwordクラックみたいなものではないかと。

        かける鍵(完璧ではないにしてもそれなりなモノ)は多い方がいいってことでしょ。
        • > とはいえ、設定されているMACアドレスを見つけるのは
          > passwordクラックみたいなものではないかと。
           
          パケット解析すれば,ヘッダーに含まれてるでしょ?
          WEPがわかってればMACアドレスはすぐに分かると思います.
          • > パケット解析すれば,ヘッダーに含まれてるでしょ?
            > WEPがわかってればMACアドレスはすぐに分かると思います.
            MACアドレスは暗号化されずに送られます。
            よって、WEPを解読する必要すらありません。
  • はまずあり得ない、という認識を持った方が良いのでしょうか?
    SSID,WEP,MACアドレスフィルタリング,アクセスポイントステルス化
    を施しても大量に盗聴されれば突破可能というのを以前のトピックで読んだ気がするので・・・
    最終的には上の層での暗号化が必須であるということなのでしょうか(それでも危ない?)

    以上エンドユーザな素人の考えですので
    識者の方のご意見を聞かせて頂ければ幸いです。

    以下余談、
    以前音楽を聴くのに飽きてたときに
    kouw [kuow.org]を一日中つけっぱなしにして
    聞いていたのですがFBIがHOME LANのセキュリティーに関して
    何かの勧告か意見を出したってので一日中しつこく
    FBIなんたらHOME LAN SECURITYというフレーズが連呼されていたのを思い出しました。
    ほんとにしつこく流れてたなぁ。
    ループ型のラジオ番組というわけでもないと思うのだけれども。
    • 単純には、傍受するのに手間がいらないということで無線 LAN は盗聴しやすいでしょう。有線 LAN だと盗聴するのに何らかの設備が必要になるので、盗聴するための参入コストが高くつくのです。

      それと、完全なセキュリティというのはちょっと違います。
      例えば、どんな暗号化でも復号化方法がわかっていればいつかは解読が可能です。暗号化にかけられる時間やお金には限りがあるので、未来永劫絶対的に安全な暗号というのはあり得ないです。
      逆にいえば、実用的には、暗号解読にかかる時間が、扱う情報の価値がなくなる程度かかる暗号を使えばよいわけです。

      セキュリティはどの程度の危険を許容できるかに依存します。つまり、無線 LAN に流す情報の価値とそれが漏洩することによるリスクを考えれば、必要なセキュリティが決まります。

      もし、見られてもよい情報を流しているのならば安くてお手軽なやり方で十分ですが、個人情報などの見られたくないものがあるなら、それなりの防護策が必要になるでしょう。
      シェア
      親コメント
      • 計算機の性能が上がって、10年位に政府の機密文書に使用されていたレベルの暗号が破られたなどというニュースを目にしますが、そういうパケットを捕まえていた人が出てきたら面白いなぁ、などと妄想することがあります。

        # キューバ危機の時の米ソ政府から軍隊への指示とか・・・
      • 暗号化にかけられる時間やお金には限りがあるので、未来永劫絶対的に安全な暗号というのはあり得ないです。
        本当?今のところ、そういう暗号化手法が提案されていないだけじゃなくて、理論的にそれが不可能と証明されたのですね?
      • 主に“見られては困る情報”に対してのみ目が向いている内容ですが(それはそれで良いのだけど)、よく言われる「踏み台として利用される」という点についてはどのようにお考えでしょう。

        例えばウチなんかだと、ローカルに流れてるデータなんて見られても構わないんだけれど、踏み台にされたく

    • 余談へのコメントですが、

      HOME LANのセキュリティーに関して何かの勧告か意見を出した(略)
      別の局で、一時の連呼を聞いていますけれど、FBI [fbi.gov]や国土安全保障省 [dhs.gov]関係のホームランドセキュリティーの聞き間違いではないでしょうか?。

      シェア
      親コメント
  • >無線LANの危険性を啓発するのはメーカの責任
    >実際にセキュリティを保つべきはユーザの責任

    まぁ、/.に来るようなアレゲな皆さんならともかく、この辺に詳しくない一般の方々には責任は問えない気が。

    まぁ、メーカーが、あーやってこーやってこーやるのってやったところで一般の方々がそのとおりやって設定ミスしてもユーザーの責任にしてしまうのはなぁ。
    まぁ、設定ミスが悪いといえばそれまでだけど。

    まぁ、バスに乗ってて企業のAP(AP名が会社名)見つけてログインしてパケットキャプチャしたら危なげなパケットが堂々と飛んでいる現状だとまだまだ無線LANの人為的セキュリティホールなんてなくならないんだろうね。まぁ、人為的セキュリティホールなんて有線LANでもあることにはあるけど、無線LANよりは安全かも。

    最強の人為的セキュリティクラックはソーシャルエンジニアリングなんだけど(オフトピなので略)。

    #妙な罪悪感をかんじつつも懺悔の意味も込めてID
    #一応ネットワーク学習中の学生の身ですがえらそうなことをいってみるテスト。
    #プレビューで見ると「まぁまぁ」言いすぎ。 > 自分
    • > まぁ、/.に来るようなアレゲな皆さんならともかく、
      > この辺に詳しくない一般の方々には責任は問えない気が。

      自己責任って事でしょ?
      法律の専門家じゃなくても、成人すれば法的責任が付いてくる。
      それと同次元の話だと考えてはどうかな?

      素人だからどうこうって話ではなく、
      個人情報ぶちまけてリスク背負うのは自分ですよ、と。

  • 頼むから… (スコア:0)

    by Anonymous Coward on 2003年08月07日 2時04分 (#373743)
    住基ネット [srad.jp]では使わないでおくれ。

    担当者が驚くんですかね。やっぱり。

    #あんまり意味無いのでAC
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー