Dec 26, 2006
livedoor Wirelessのラの字も考えてないWeb屋のネタ帳の誤読記事
http://japan.cnet.com/news/com/story/0,2000056021,20339983,00.htm
に関して、Web屋のネタ帳の人が
「セキュリティのセの字も考えてないライブドアの公衆無線LANサービス」という記事を書いているのですが、
http://neta.ywcafe.net/000698.html
何か色々間違ってると思うので、書いておきます。これはライブドアの中の人じゃなくて、1ユーザーとしての立場で書いてるのと、あとネットワーク管理者でもなんでもないんで、そこら辺信頼できるかどうかは各自ご判断ください。
まず、実際自分で試してみたのですが、これは接続したい機器のMACアドレスを事前に登録しておくとWEB認証をスキップできるというもので、そもそもWEPキーを入れないとアクセスポイントに繋がりません。なので、Web屋のネタ帳の記事にある、「MACアドレスだけで認証する」というのは間違いです。
もう少しつっこんだことを書くと
- セキュリティ上の懸念はある
- 気になる人はMACアドレスを登録する機器を限定すべき
- MACアドレスを知られただけで不正アクセスの責任を負わされるというのは非現実的
と、個人的には思います。
偽装アクセスポイントの問題
偽装アクセスポイントというのは、livedoor Wirelessに限らず公衆無線LAN全般の問題で、偽のアクセスポイントを設置しておけば自動接続してきた機器のMACアドレスを収集したり、通信を傍受することができる。そういった行為を取り締まる法律やら条例やらがあるかどうかは知らない。そもそも第三者がSSIDとWEPキーが「たまたま」同じアクセスポイントを設置する、というケースも一応ありうるだろう。なので公衆無線LANに繋がった後に「WEB認証画面を見てURLが正しいかHTTPSで繋がっているかを確認して、本物のアクセスポイントに繋がっていると確証が持てたらユーザー名とパスワードを入力してログインしてください」ということを、記憶が定かではないが小学校の五年生ぐらいで教わったように思う。
つまり、ここで「本来必要なWEB認証画面」が表示されずに使えてしまったら、偽のアクセスポイントを使っている可能性がある、ということになるのだが、MACアドレスを事前登録しておくことでWEB認証がスキップされるので、本物のアクセスポイントを使っているのか、偽のアクセスポイントを使っているのかを判別する要素がなくなってしまう。
という問題があると思うので、万が一偽装アクセスポイントに接続して通信が傍受されても問題ないような機器に限定してMACアドレスを登録するようにしておけばいいんじゃないかと思う。ゲーム対戦とか。アプリケーションレベルで暗号化されてる場合とか。
犯罪に使われるか、タダ乗りできるかどうか
これについてはWEPキーはそもそも認証としては弱いので、総当たりで試すなりlivedoorWirelessの会員に聞くなりすれば突破できるだろう。なので、認証済みのMACアドレスを手に入れて、MACアドレスを偽装すればタダ乗りすることが可能になる。ただし、ゆるゆるとはいっても、パスワードはパスワードなので会員でもないのにlivedoor Wirelessのアクセスポイントを使うのは不正アクセスなんちゃらに該当するんじゃないかと思う。全体からすると信頼できる他人にlivedoor idとパスワードとWEPキーを教えて故意にタダ乗りさせるようなケースの方が圧倒的に多いんじゃあるまいか。これは全く個人的な意見だけど、正規の利用者がMACアドレスを他人に知られただけで責任を負わされるというのは非現実的だと思う。その人のアカウント経由で犯罪が行われたとしても、どのアクセスポイントを使ったかなんてのは分かるんだから、普通にアリバイを証明をすればいい。ただし、同じMACアドレスで複数のアクセスポイントに繋ごうとした場合に、正規ユーザーにも関わらずアクセス制限をかけられるような可能性はあるんじゃないかと思う。そこら辺の仕組みはlivedoor Wirelessの中の人ではないので知らない。
以上です。
とりあえず、MACアドレスだけで繋がるというのは間違いです。
補足 2006-12-26
実際のところは事前にWEPキー(申込み時にユーザー毎に割り当てられる10文字程度の英数字)を機器にあらかじめ設定しておくことが必要
これも間違い。そういう形態でサービス提供することは不可能だと思う。書いていい話なのかどうかわからないけど自分が知る限りlivedoor WirelessのWEPキーはユーザー毎ではなく全ユーザー共通。これは低価格の公衆無線LANでは(たぶん)一般的なんじゃないかと思う。複数使い分けられるのはあった気がする。
で、もっと安全な認証方法でサービスを提供しているところもあるので、
http://itpro.nikkeibp.co.jp/article/COLUMN/20060306/231816/
その点を指して「セキュリティ上問題がある」というのであれば真っ当な意見なのでその辺は否定しません。サービス概要を見ると「IEEE802.1x認証は後日対応予定」と書いてあるが、具体的にいつ対応するのかは知らない。
livedoor WirelessはWEPキーで暗号化されているので完全無欠鉄壁セキュアです!みたいな宣伝はしてないよね。してたらJAROにTELすればいい。逆に「盗聴される恐れがありますが月額500円!」とか、わざわざユーザーの不安を煽るような周知をしないといかんのか。
そもそも盗聴されて困る情報をインターネットで送るときは暗号化しなさいと小学校の三年生ぐらいで教わるはずなので、その辺のリスクは十分に承知した上で値段とサービスエリアと対応機器と考えて契約すればいいんじゃないかと思います。少なくともNintendoDSで使いたいとかそういう事情があるならWEPしか使えないようだし、MACアドレス認証というのは妥当な方法だと思う。
あと偽アクセスポイントについては普通に業務妨害か何かで取り締まれるんじゃないかと思った。
セキュリティのセの字も考えてないライブドアの公衆無線LANサービス
=== 冒頭なのに追記ここから === 最速インターフェース研究会 :: li...
Livedoor WirelessのMACアドレス登録
なんだかライブドアがおもしろげなことを始めたらしいのでちょっと書いてみる.
http://japan.cnet.com/news/com/story/0,2000056021,20339983,00.htm
じつは近所でもブラウザ認証(Web認証:WEP認証とまぎらわしいのでこの書き方)の無線LANというのが存在していて,
これ...
livedoor WirelessのMAC認証
別にネット屋さんじゃないんだけど、なんか非常に気になる話が出ていたので引用。まず...
第44回目はネットのお役立ち情報??ひ、人が!
INTER-GATE運営事務局です。年末のせいか、リアルな現実もバーチャルなSN...
[diary] 無線LANのセキュリティなら802.1x認証が無敵だ!
某所で展開されていたlivedoorWirelessについてのセキュリティ上の問題。 セキュリティのセの字も考えてないライブドアの公衆無線LANサービス 最速インターフェース研究会 :: livedoor Wirelessのラの字も考えてないWeb屋のネタ帳の誤読記事 ところで、WEP+MACアドレス認証
@ポイント(*^▽^*)
☆確実カンタンに稼げるポイントサイト☆o(^▽^楽)o@ポイントo(^▽^楽)o空いてる時間でカンタン確実にお小遣い稼ぎサイト内にある広告【無料登録でポイントゲット】【アンケートでポイントゲット】【お得なお買い物でポイントゲット】などなど簡単な登録・利用だ...
【タク@ホスト流】簡単ブログアクセスアップ2【月収100万円】
第二段!【タク@ホスト流】無料でブログアクセスアップ2
今日は強風
昨日に引き続き今日も今日は千葉県の天ヶ代ゴルフ倶楽部!!font>ここは一昨年のクリスマスに初ラウンド以降気に入ってかれこれもう5ラウンド位行っているコース。コース、キャディ、食事、コストパフォーマンスすべてよしのオススメコースです。唯一インターからちょっと...
【ブログ補助ツール】トラックバック自動送信ソフト「トラックバッカー2」
【ブログ補助ツール】トラックバック自動送信ソフト「トラックバッカー2」では、個々にトラックバックするのではなく一括でしかも高速で送信されます。
ds,ボクらの太陽、カセット、ウイイレ攻略
nintendo ds , ソフト入手できます!!
muzoboz1239
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
rfxi.org
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
jamesberkeley.info
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
joerandal.info
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
kukarancha19
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
otoropeloono17
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
zelenyizmei07
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
zelenyizmei17
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
various mortgage
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
mortgage life insurance
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
consolidation mortgage
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
higher mortgage
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
adverse credit mortgage
a_Ya__a_�_た__a_Ta_ra_�,^a,_a_-a__a_S蕁~a_,a_-a__a_Ta_,
Home Mortgage Loan
あなたのすばらしいページの優秀なポストをありがとう
刺身の上にタンポポのせる仕事を一生懸命やっている人のほうがよほど偉い
ちょっとちょっとちょっとちょっとちょっとちょっとちょっと。Web屋のネタ帳って...
lyrics Chris Hinze - Tibet impressions
lyrics Live Disc
free E.I.C. Live At Manchester
lyrics Jazz Masters 38
get Sudden Def-Skynet Vs Ancronix-SDR12020-2005-sour
free Kismet
download SartaG或ni
listen The Quest
listen Suicidal Instincts
get Transmutations
free Mr Brown
free Under The Mask Of Stone
free Death, Dumb And Blind
download Boccaccio 70
listen Epitaph CD2
lyrics Robyn Sings (cd1)
download Radha Govinda - Atmarama Dasa
download Paradise and Lunch
get Entropia
free Tomorrow Will Never Come
lyrics Cab
free The Colours of Life
free Tunnel Trance Force Vol.25 CD1
free The Best Of
lyrics March March Along
get Naked Flower
download Siccmixx: Our Most Gangsta Hits
download In Heat
listen Rush Hour 3
get To The Gory End (Reissue)
lyrics Ambiance Chlorophylle - Musique De Vent
get Tanto Tiempo
free Las Mas Rancheras de Antonio Aguilar
get Monsterseries Volume #001 Mixed by Ronski Speed
listen Big Iron World
lyrics Vader - Slatanic Slaughter II (Tribute)
download Instrumentalyst (octagon beats)
lyrics Suddenly
download Black seared heart
download Liquid Crystal Love
download Songs From The West Coast
lyrics Landscapes Of Middle Earth
get The Philly Fog EP
get Dalla
download Wojna Postu z Karnawalem
get Shopping Carts Crashing
listen Marooned Live (live)
download Ultimate Hits Collection, Vol. 1
lyrics Mirrorball
listen Opium Dance Club - Spy Reality
writeback message: Ready to post a comment.
