最速インターフェース研究会 :: livedoor Wirelessのラの字も考えてないWeb屋のネタ帳の誤読記事

Dec 26, 2006

livedoor Wirelessのラの字も考えてないWeb屋のネタ帳の誤読記事

偽装アクセスポイントの問題

偽装アクセスポイントというのは、livedoor Wirelessに限らず公衆無線LAN全般の問題で、偽のアクセスポイントを設置しておけば自動接続してきた機器のMACアドレスを収集したり、通信を傍受することができる。そういった行為を取り締まる法律やら条例やらがあるかどうかは知らない。そもそも第三者がSSIDとWEPキーが「たまたま」同じアクセスポイントを設置する、というケースも一応ありうるだろう。

なので公衆無線LANに繋がった後に「WEB認証画面を見てURLが正しいかHTTPSで繋がっているかを確認して、本物のアクセスポイントに繋がっていると確証が持てたらユーザー名とパスワードを入力してログインしてください」ということを、記憶が定かではないが小学校の五年生ぐらいで教わったように思う。

つまり、ここで「本来必要なWEB認証画面」が表示されずに使えてしまったら、偽のアクセスポイントを使っている可能性がある、ということになるのだが、MACアドレスを事前登録しておくことでWEB認証がスキップされるので、本物のアクセスポイントを使っているのか、偽のアクセスポイントを使っているのかを判別する要素がなくなってしまう。

という問題があると思うので、万が一偽装アクセスポイントに接続して通信が傍受されても問題ないような機器に限定してMACアドレスを登録するようにしておけばいいんじゃないかと思う。ゲーム対戦とか。アプリケーションレベルで暗号化されてる場合とか。

犯罪に使われるか、タダ乗りできるかどうか

これについてはWEPキーはそもそも認証としては弱いので、総当たりで試すなりlivedoorWirelessの会員に聞くなりすれば突破できるだろう。なので、認証済みのMACアドレスを手に入れて、MACアドレスを偽装すればタダ乗りすることが可能になる。ただし、ゆるゆるとはいっても、パスワードはパスワードなので会員でもないのにlivedoor Wirelessのアクセスポイントを使うのは不正アクセスなんちゃらに該当するんじゃないかと思う。全体からすると信頼できる他人にlivedoor idとパスワードとWEPキーを教えて故意にタダ乗りさせるようなケースの方が圧倒的に多いんじゃあるまいか。

これは全く個人的な意見だけど、正規の利用者がMACアドレスを他人に知られただけで責任を負わされるというのは非現実的だと思う。その人のアカウント経由で犯罪が行われたとしても、どのアクセスポイントを使ったかなんてのは分かるんだから、普通にアリバイを証明をすればいい。ただし、同じMACアドレスで複数のアクセスポイントに繋ごうとした場合に、正規ユーザーにも関わらずアクセス制限をかけられるような可能性はあるんじゃないかと思う。そこら辺の仕組みはlivedoor Wirelessの中の人ではないので知らない。

以上です。
とりあえず、MACアドレスだけで繋がるというのは間違いです。

補足 2006-12-26

実際のところは事前にWEPキー（申込み時にユーザー毎に割り当てられる10文字程度の英数字）を機器にあらかじめ設定しておくことが必要

これも間違い。そういう形態でサービス提供することは不可能だと思う。書いていい話なのかどうかわからないけど自分が知る限りlivedoor WirelessのWEPキーはユーザー毎ではなく全ユーザー共通。これは低価格の公衆無線LANでは(たぶん)一般的なんじゃないかと思う。複数使い分けられるのはあった気がする。

で、もっと安全な認証方法でサービスを提供しているところもあるので、
http://itpro.nikkeibp.co.jp/article/COLUMN/20060306/231816/

その点を指して「セキュリティ上問題がある」というのであれば真っ当な意見なのでその辺は否定しません。サービス概要を見ると「IEEE802.1x認証は後日対応予定」と書いてあるが、具体的にいつ対応するのかは知らない。

livedoor WirelessはWEPキーで暗号化されているので完全無欠鉄壁セキュアです！みたいな宣伝はしてないよね。してたらJAROにTELすればいい。逆に「盗聴される恐れがありますが月額500円！」とか、わざわざユーザーの不安を煽るような周知をしないといかんのか。

そもそも盗聴されて困る情報をインターネットで送るときは暗号化しなさいと小学校の三年生ぐらいで教わるはずなので、その辺のリスクは十分に承知した上で値段とサービスエリアと対応機器と考えて契約すればいいんじゃないかと思います。少なくともNintendoDSで使いたいとかそういう事情があるならWEPしか使えないようだし、MACアドレス認証というのは妥当な方法だと思う。

あと偽アクセスポイントについては普通に業務妨害か何かで取り締まれるんじゃないかと思った。

Posted at 12:08 | WriteBacks (40) | Edit

Edit this entry...

wikieditish message: Ready to edit this entry.

Title:

Body:

livedoor wireless、MACアドレスによる認証を開始--ニンテンドーDSにも対応
http://japan.cnet.com/news/com/story/0,2000056021,20339983,00.htm

に関して、Web屋のネタ帳の人が
「セキュリティのセの字も考えてないライブドアの公衆無線LANサービス」という記事を書いているのですが、
http://neta.ywcafe.net/000698.html

何か色々間違ってると思うので、書いておきます。これはライブドアの中の人じゃなくて、1ユーザーとしての立場で書いてるのと、あとネットワーク管理者でもなんでもないんで、そこら辺信頼できるかどうかは各自ご判断ください。

まず、実際自分で試してみたのですが、これは接続したい機器のMACアドレスを事前に登録しておくとWEB認証をスキップできるというもので、そもそもWEPキーを入れないとアクセスポイントに繋がりません。なので、Web屋のネタ帳の記事にある、「MACアドレスだけで認証する」というのは間違いです。

もう少しつっこんだことを書くと

- セキュリティ上の懸念はある
- 気になる人はMACアドレスを登録する機器を限定すべき
- MACアドレスを知られただけで不正アクセスの責任を負わされるというのは非現実的

と、個人的には思います。

* 偽装アクセスポイントの問題
偽装アクセスポイントというのは、livedoor Wirelessに限らず公衆無線LAN全般の問題で、偽のアクセスポイントを設置しておけば自動接続してきた機器のMACアドレスを収集したり、通信を傍受することができる。そういった行為を取り締まる法律やら条例やらがあるかどうかは知らない。そもそも第三者がSSIDとWEPキーが「たまたま」同じアクセスポイントを設置する、というケースも一応ありうるだろう。

なので公衆無線LANに繋がった後に「WEB認証画面を見てURLが正しいかHTTPSで繋がっているかを確認して、本物のアクセスポイントに繋がっていると確証が持てたらユーザー名とパスワードを入力してログインしてください」ということを、記憶が定かではないが小学校の五年生ぐらいで教わったように思う。

つまり、ここで「本来必要なWEB認証画面」が表示されずに使えてしまったら、偽のアクセスポイントを使っている可能性がある、ということになるのだが、MACアドレスを事前登録しておくことでWEB認証がスキップされるので、本物のアクセスポイントを使っているのか、偽のアクセスポイントを使っているのかを判別する要素がなくなってしまう。

という問題があると思うので、万が一偽装アクセスポイントに接続して通信が傍受されても問題ないような機器に限定してMACアドレスを登録するようにしておけばいいんじゃないかと思う。ゲーム対戦とか。アプリケーションレベルで暗号化されてる場合とか。

* 犯罪に使われるか、タダ乗りできるかどうか
これについてはWEPキーはそもそも認証としては弱いので、総当たりで試すなりlivedoorWirelessの会員に聞くなりすれば突破できるだろう。なので、認証済みのMACアドレスを手に入れて、MACアドレスを偽装すればタダ乗りすることが可能になる。ただし、ゆるゆるとはいっても、パスワードはパスワードなので会員でもないのにlivedoor Wirelessのアクセスポイントを使うのは不正アクセスなんちゃらに該当するんじゃないかと思う。全体からすると信頼できる他人にlivedoor idとパスワードとWEPキーを教えて故意にタダ乗りさせるようなケースの方が圧倒的に多いんじゃあるまいか。

これは全く個人的な意見だけど、正規の利用者がMACアドレスを他人に知られただけで責任を負わされるというのは非現実的だと思う。その人のアカウント経由で犯罪が行われたとしても、どのアクセスポイントを使ったかなんてのは分かるんだから、普通にアリバイを証明をすればいい。ただし、同じMACアドレスで複数のアクセスポイントに繋ごうとした場合に、正規ユーザーにも関わらずアクセス制限をかけられるような可能性はあるんじゃないかと思う。そこら辺の仕組みはlivedoor Wirelessの中の人ではないので知らない。

以上です。
とりあえず、MACアドレスだけで繋がるというのは間違いです。

* 補足 2006-12-26

<blockquote>実際のところは事前にWEPキー（申込み時にユーザー毎に割り当てられる10文字程度の英数字）を機器にあらかじめ設定しておくことが必要</blockquote>

で、もっと安全な認証方法でサービスを提供しているところもあるので、
http://itpro.nikkeibp.co.jp/article/COLUMN/20060306/231816/

その点を指して「セキュリティ上問題がある」というのであれば真っ当な意見なのでその辺は否定しません。<a href="http://wireless.livedoor.com/service/outline.html">サービス概要</a>を見ると「IEEE802.1x認証は後日対応予定」と書いてあるが、具体的にいつ対応するのかは知らない。

livedoor WirelessはWEPキーで暗号化されているので完全無欠鉄壁セキュアです！みたいな宣伝はしてないよね。してたらJAROにTELすればいい。逆に「盗聴される恐れがありますが月額500円！」とか、わざわざユーザーの不安を煽るような周知をしないといかんのか。

そもそも盗聴されて困る情報をインターネットで送るときは暗号化しなさいと小学校の三年生ぐらいで教わるはずなので、その辺のリスクは十分に承知した上で値段とサービスエリアと対応機器と考えて契約すればいいんじゃないかと思います。少なくともNintendoDSで使いたいとかそういう事情があるならWEPしか使えないようだし、MACアドレス認証というのは妥当な方法だと思う。

あと偽アクセスポイントについては普通に業務妨害か何かで取り締まれるんじゃないかと思った。

Excerpt:

livedoor wireless、MACアドレスによる認証を開始--ニンテンドーDSにも対応http://japan.cnet.com/news/com/story/0,2000056021,20339983,00.htmに関して、Web屋のネタ帳の人が「セキュリティのセの字も考えてないライブドアの公衆無線LANサービス」という記事を書いているのですが、http://neta.ywcafe.net/000698.html何か色々間違ってると思うので、書いておきます。これはライブドアの中の人じゃなくて、1ユーザーとしての立場で書いてるのと、あとネットワーク管理者でもなんでもないんで、そこら辺信頼できるかどうかは各自ご判断ください。まず、実際自分で試してみたのですが、これは接続したい機器のMACアドレスを事前に登録しておくとWEB認証をスキップできるというもので、そもそもWEPキーを入れないとアクセスポイントに繋がりません。なので、Web屋のネタ帳の記事にある、「MACアドレスだけで認証する」というのは間違いです。もう少しつっこんだことを書くと- セキュリティ上の懸念はある- 気になる人はMACアドレスを登録する機器を限定すべき- MACアドレスを知られただけで不正アクセスの責任を負わされるというのは非現実的と、個人的には思います。 偽装アクセスポイントの問題偽装アクセスポイントというのは、livedoor Wirelessに限らず公衆無線LAN全般の問題で、偽のアクセスポイントを設置しておけば自動接続してきた機器のMACアドレスを収集したり、通信を傍受することができる。そういった行為を取り締まる法律やら条例やらがあるかどうかは知らない。そもそも第三者がSSIDとWEPキーが「たまたま」同じアクセスポイントを設置する、というケースも一応ありうるだろう。なので公衆無線LANに繋がった後に「WEB認証画面を見てURLが正しいかHTTPSで繋がっているかを確認して、本物のアクセスポイントに繋がっていると確証が持てたらユーザー名とパスワードを入力してログインしてください」ということを、記憶が定かではないが小学校の五年生ぐらいで教わったように思う。つまり、ここで「本来必要なWEB認証画面」が表示されずに使えてしまったら、偽のアクセスポイントを使っている可能性がある、ということになるのだが、MACアドレスを事前登録しておくことでWEB認証がスキップされるので、本物のアクセスポイントを使っているのか、偽のアクセスポイントを使っているのかを判別する要素がなくなってしまう。という問題があると思うので、万が一偽装アクセスポイントに接続して通信が傍受されても問題ないような機器に限定してMACアドレスを登録するようにしておけばいいんじゃないかと思う。ゲーム対戦とか。アプリケーションレベルで暗号化されてる場合とか。 犯罪に使われるか、タダ乗りできるかどうかこれについてはWEPキーはそもそも認証としては弱いので、総当たりで試すなりlivedoorWirelessの会員に聞くなりすれば突破できるだろう。なので、認証済みのMACアドレスを手に入れて、MACアドレスを偽装すればタダ乗りすることが可能になる。ただし、ゆるゆるとはいっても、パスワードはパスワードなので会員でもないのにlivedoor Wirelessのアクセスポイントを使うのは不正アクセスなんちゃらに該当するんじゃないかと思う。全体からすると信頼できる他人にlivedoor idとパスワードとWEPキーを教えて故意にタダ乗りさせるようなケースの方が圧倒的に多いんじゃあるまいか。これは全く個人的な意見だけど、正規の利用者がMACアドレスを他人に知られただけで責任を負わされるというのは非現実的だと思う。その人のアカウント経由で犯罪が行われたとしても、どのアクセスポイントを使ったかなんてのは分かるんだから、普通にアリバイを証明をすればいい。ただし、同じMACアドレスで複数のアクセスポイントに繋ごうとした場合に、正規ユーザーにも関わらずアクセス制限をかけられるような可能性はあるんじゃないかと思う。そこら辺の仕組みはlivedoor Wirelessの中の人ではないので知らない。以上です。とりあえず、MACアドレスだけで繋がるというのは間違いです。 補足 2006-12-26実際のところは事前にWEPキー（申込み時にユーザー毎に割り当てられる10文字程度の英数字）を機器にあらかじめ設定しておくことが必要これも間違い。そういう形態でサービス提供することは不可能だと思う。書いていい話なのかどうかわからないけど自分が知る限りlivedoor WirelessのWEPキーはユーザー毎ではなく全ユーザー共通。これは低価格の公衆無線LANでは(たぶん)一般的なんじゃないかと思う。複数使い分けられるのはあった気がする。で、もっと安全な認証方法でサービスを提供しているところもあるので、http://itpro.nikkeibp.co.jp/article/COLUMN/20060306/231816/その点を指して「セキュリティ上問題がある」というのであれば真っ当な意見なのでその辺は否定しません。サービス概要を見ると「IEEE802.1x認証は後日対応予定」と書いてあるが、具体的にいつ対応するのかは知らない。livedoor WirelessはWEPキーで暗号化されているので完全無欠鉄壁セキュアです！みたいな宣伝はしてないよね。してたらJAROにTELすればいい。逆に「盗聴される恐れがありますが月額500円！」とか、わざわざユーザーの不安を煽るような周知をしないといかんのか。そもそも盗聴されて困る情報をインターネットで送るときは暗号化しなさいと小学校の三年生ぐらいで教わるはずなので、その辺のリスクは十分に承知した上で値段とサービスエリアと対応機器と考えて契約すればいいんじゃないかと思います。少なくともNintendoDSで使いたいとかそういう事情があるならWEPしか使えないようだし、MACアドレス認証というのは妥当な方法だと思う。あと偽アクセスポイントについては普通に業務妨害か何かで取り締まれるんじゃないかと思った。

Ping URLs:

Password:

A quick preview will be rendered here when you click "Preview" button.