パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「セキュリティ対策をしていない」自宅の無線LAN、4割以上にのぼる」記事へのコメント

  • by KAMEDA,Tsukasa (33237) on 2008年09月30日 19時30分 (#1429073)
    > MACアドレスによる接続制限(フィルタリング): 22.7%
    > 無線LANクライアント側でSSIDを「ANY」あるいは空欄に設定しない : 22.4%

    この二つは「セキュリティ対策」のうちに入れちゃ駄目でしょ…WEPだって104bitが一分で破れる [srad.jp]と言われてますし、とても十分とは言い難いですね。
    • by Anonymous Coward on 2008年09月30日 22時18分 (#1429185)
      で、「やらないよりはやったほうがいい」と思っている人もいるかもしれないのでとりあえず。
      高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない [takagi-hiromitsu.jp]
      世の中には「やらないほうがマシ」なことさえもいっぱいあるのです。暗号学的に安全な乱数が提供されていない [ryukoku.ac.jp]PHPで、安易にCSRF対策としてワンタイムトークンを使おうとする [takagi-hiromitsu.jp]とか。
      親コメント
      • by Anonymous Coward
        そりゃ、WEPとMACアドレス制限を同時に使っていた場合だろ。
        WEPとか暗号化をしてない状態では、MACアドレス制限は「無いよりはマシ」だよ。
      • by Anonymous Coward
        無線APと登録クライアント間の通信をスニッフしてようやくMACアドレスを知りうる事ができるわけで、
        わざわざ待ち構えている相手には無力でも、偶然やってくる「1分間の総当たりで開けてやろう」なんて
        相手には充分対抗手段になるんじゃないの。
        家電かななにかが繋がっていて常時無線交信しているような家庭ならともかく、持ち帰ったノートPCで
        サーフィンする数分~数時間以外の時間の方が長いヤツの方が多くない?
        • by Anonymous Coward

          偶然やってくる「1分間の総当たりで開けてやろう」なんて 相手には充分対抗手段になるんじゃないの。
          いや、全然なりませんが?
          だって、「1分間の総当たりで開けてやろう」ってWEPクラックの話でしょ?
          WEPクラックは、正規接続者のパケットスニッフで実現されているわけで、
          WEPクラックするときは当然にMACアドレスも取得してるわけで。
          • by Anonymous Coward
            1日に1時間使われるアクセスポイントなら、残り23時間はスニッフしようにも正規接続者のパケットすら
            飛んでない状態な訳で
            最長23時間待たないとクラックできないアクセスポイントと、いますぐ総当たりで1分あればクラックできるアクセスポイントと
            貴方ならどちら狙いますか?

            無線LANの狭い圏内に居住していて24時間監視している外来者への対策にはならなくても
            出先でちょっと寄ってこう、なんていう外来者を弾けるのなら意味はあると思うけれど。
            • by Anonymous Coward
              別ACだが、ここをもう1度良く読め。
              > WEPクラックは、正規接続者のパケットスニッフで実現されているわけで、
              • by Anonymous Coward
                おまえは、ここをもう1度良く読んだ方がいいな。
                >1日に1時間使われるアクセスポイントなら、残り23時間はスニッフしようにも正規接続者のパケットすら
                飛んでない状態なわけで
              • by Anonymous Coward
                じゃあ、「総当たりで1分」でクラックというのは何を指してるんだ?
                それがMACアドレスによるフィルタリングと何の関係があるんだ?

                # まさか 40bit WEP とか言わんよね?
      • by Anonymous Coward
        前々から思っていたんだけど、 そもそもMACアドレスが簡単に偽装できるってほんとか? 確かに物によってはドライバの設定で直接値書換えたり出来るのあるけど クラックツールMACアドレスの偽装までやる(ファーム書き換えor通信偽装)ものはみたことないぞ。 MACアドレスの偽装まで一括してやってくれるツールが最も主流であれば成り立つが そうでなければMACアドレス制限が無意味というのは明らかな誤りだろ。
          • by Anonymous Coward
            やっぱり一体化されてるわけじゃないのか。
            しかも上記情報だけだとlinux等の端末以外でも出来るか不明。
            もし出来なかったら対象をかなり減らせるしそうでなくても手間が一つ増える。

            完全に対象を狙って攻撃する場合は無意味だが
            そうでない場合は決して"無意味"ではないということだな。
            そもそも例の記事はセンセーショナルな内容で読者煽るのが
            目的みたいなもんだから煽り文句全部素直に受け取る必要など無い。
            • by Anonymous Coward
              > しかも上記情報だけだとlinux等の端末以外でも出来るか不明。

              いや、Windowsなら普通にデバイスのプロパティでMACアドレス変更できるから。

              理解したくない理由探して、どうしてそんなに必死なの?
        • by Anonymous Coward
          知ったふうな口を利いて極論で煽りたがる奴にとっては
          「可能である」イコール「簡単に可能である」なのさ。

          「正規のWEP利用者のパケットを1分間スニッフすればクラックできる」を
          「WEPは1分でクラックできる」と何の前提条件もないかのように言ってみたり。
    • by Anonymous Coward on 2008年09月30日 23時26分 (#1429228)
      > WEPだって104bitが一分で破れると言われてますし、とても十分とは言い難いですね。

      まぁ言うことはわかるんだが、Nintendo DS なんかを家でつなぎたくなると、WEPにしなきゃ、なんて感じ。 新型DS [engadget.com]で 改善されてたらうれしいなぁ。

      自分(と家族が使う)無線LAN関連機器の足並みがそろわないと、暗号強度すらあげれないんだよね。

      親コメント
      • by Anonymous Coward
        #1429185の高木先生の記事ではニンテンドー問題の解決策についてもきちんと言及されてますね。
        > 自分(と家族が使う)無線LAN関連機器の足並みがそろわないと、暗号強度すらあげれないんだよね。
        アクセスポイントだけマルチSSIDに対応していれば、足並みをそろえなくても機器を順次暗号強度の高いものに買い替えていけます。
        もちろん暗号強度の高い機器がそもそも入手できなくてはその機器についてはどうしようもないわけで、
        > 新型DS [engadget.com]で改善されてたらうれしいなぁ。
        には100%完璧に同意しますが。
        • by Anonymous Coward
          個人宅でそこまでしなくても、と言う意見が大勢
      • by Anonymous Coward
        Nintendo DSはセキュリティホールなんですね、わかります。
    • 回答の数字を足すと100%超えるので。選択肢のうち2つ以上、MAC制限に加えてどっちかの暗号化をやっていればだいたい大丈夫と思いますけれど。

      でもさ、人の事言えないんだ。もし自分のスキルが足りないせいで
      • セキュリティかけたら使いものにならない
      • セキュリティさえかけなければ使える
      だったらセキュリティかけずに使ってしまうと思う。PCにはついてきたとして、APはわざわざ選んで(買って)きたのに使えないってシャクでしょ。geekじゃない一般人だったらもっと使えたらいいやって傾向になると思う。
      セキュリティかけるとつながらないトラブルがグンと増えるし。APによっては設定をブラウザからできなくて、専用ソフト(Win用しかない)が必要なものもあったりして。
      • by Anonymous Coward on 2008年09月30日 21時25分 (#1429161)
        元のコメントは、MACアドレス制限にセキュリティ上の意味はないという意味ですよ。
        MACアドレスは暗号化できませんから、通信中のパケットを1つでもキャプチャすれば簡単に知ることができます。

        SSIDを隠すのも同様。MACアドレスよりはキャプチャするタイミングが限られますけど、大差ありません。
        親コメント
        • それはどうでしょうね。
          MACアドレス調べて書き換えてまでアクセスしてくるというのは完全に「狙って」ますよね。
          狙い打ちにされるようなAPでもなければそれなりにMACアドレス制限のメリットはあるんじゃないかと思うんですが
          どこでもいいからどっか繋がらないかな、というような類は避けれるんじゃないかと。

          なんらかの事情でWEPしか使えない環境なんかだと多少意味を帯びて来るんじゃないですかねえ
          親コメント
          • 確かに、回りに暗号化もしてない野良アクセスポイントが溢れている状況では、
            WEPだけでも実用上問題ない、って言葉にはそれなりに説得力があるかなと思いますね。

            「自転車の鍵なんてすぐに破られる」からといって、
            「自転車から離れる時、鍵をかけておくのは意味がない」のでしょうかね。

            「WEP+MACアドレス制限」で「セキュリティ対策は万全」と思うのは間違いですけど、
            それでも「しないよりはマシ」なのは確かでしょう。
            親コメント
            • by Anonymous Coward
              自転車の鍵を壊そうとしているところは第三者に目撃される可能性がありますが、WEPやらMACアドレスやらの解析は人知れず行えますね。
              家の鍵なんかもふたつつけると良いって言われてるのは、開錠にかかる時間が延びれば目撃される率が上がるということから泥棒が嫌がるという心理的な要素が主ですし。

              抑止力は限りなく低いんじゃないですか?
              • by Anonymous Coward
                >抑止力は限りなく低いんじゃないですか?

                ザルなAPが4割もあるうちはそれなりの抑止力があるでしょう。
                大企業や役所を狙いうちにするのならともかく、
                単に踏み台に使えそうな一般家庭を探すだけのためなら
                わざわざ面倒な方を試す人はいません。

                そもそも解析するためには正規のトラフィックが流れなければいけないわけで、
                そんなの何時間後だかわかりませんし。
          • > MACアドレス調べて書き換えてまでアクセスしてくるというのは完全に「狙って」ますよね。

            MACアドレスを傍受してなりすますキットが現れて普及する土台、と考えると
            狙うとか狙わないとか考えるまでもなく危険だとは思う。
            --
            ・−− ・− ・・・ ・・・ −・−−
            親コメント
            • もちろんそうなんですが、同じMACアドレスがネットワーク内にあったら通信できなくなりません?
              傍受した瞬間には使えないんじゃないかと。

              つまり事前に下調べが必要でなおかつ傍受したMACアドレスを持ってる機械が接続されてないという前提が必要なのでは?

              で、そこまでして狙い打ちにするメリットを考えると、よほど重要な情報でもなければやってきそうもないなと。
              踏台として狙うにしてもそこまでする奴にでくわす事自体がマレですよね。

              ただMACアドレス制限はあると非常に不便なのは確かなので、制限するメリット・デメリットを考えるとどうかな、と思う面はあります。

              根本的には無線LAN側の認証に頼らず、そこはVPNかなにかで認証しないと外に出れないようにするしかないかな、なんて考えてますが、それだと任天堂製品などが困るのですよね。
              親コメント
          • by Anonymous Coward

            なんらかの事情でWEPしか使えない環境なんかだと多少意味を帯びて来るんじゃないですかねえ
            いやだから、WEPクラックのソフトは、MACアドレスも収集してるんだってば。
            (でなきゃクラックできないっての、笑)
            あなたが知らないだけ。
        • by Anonymous Coward
          高木さんは時々論理が極端な方に触れ過ぎて的外れな事を言うからなぁ。
          踏み台目的なら接続が最も手軽であるSSIDがYBBuserになってるAPを狙うでしょうから
          デフォルトから外すだけでも十分に意味があると思うよ。

          特に賃貸アパートで使われている9割以上のカギは、カギの構造の知識を持った人には
          殆ど無いのと一緒ですが、だからといってカギが無意味だって主張して全くカギをかけ
          ない人は居ないでしょう。それと一緒です。
          • by Anonymous Coward
            > 特に賃貸アパートで使われている9割以上のカギは、カギの構造の知識を持った人には
            > 殆ど無いのと一緒ですが、だからといってカギが無意味だって主張して全くカギをかけ
            > ない人は居ないでしょう。それと一緒です。

            そういうのは,「狙われたらひとたまりもないけれど,気休めにはなる」ということですね。
    • by Anonymous Coward
      SSIDを「FON_AP」にして擬装してます。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...