« iPhoneアプリの通信をパケットキャプチャ | トップページ | HTTPSを強制するFirefoxアドオン(HTTPS EverywhereとForce-TLS) »

2010年11月22日

公衆無線LANのセキュリティはかなりお寒い

Firesheepが公開されて、公衆無線LAN内の他人のTwitterやFacebookのセッションを誰でも簡単に乗っ取る(sidejack)ことができるようになってしまった(参考記事1)。

ソフトバンクモバイルが無料で配布しているせいか、最近あちこちで電波を見かけるFONは通信を暗号化していない。Firesheepの格好の餌食である。

WEPを使っている公衆無線LANも危険だ。アクセスポイントのWEPキー(パスワード)は公開されていて、そのキーをもとに全クライアントに共通の鍵を生成して暗号化する。これは暗号化していないのと同じだ。「通信内容を暗号化することでセキュリティーを強化」とホームページなどで喧伝している公衆無線LANサービスもあるが、それがWEPなら虚偽広告といって構わない。

NTT系の公衆無線LAN(ホットスポット、Mzone、フレッツ・スポット)は、IEEE802.1X認証によってクライアントごとの個別鍵を動的に生成するダイナミックWEPが使える。個別鍵に加えて、鍵を定期的に更新しているらしい。ダイナミックWEPであれば多少なりとも安全かもしれないが、更新の間隔が公開されていない。WEPは1分以内に破られてしまうから、どの程度防御されているか判断できない。また802.1X認証はオプション扱いだったり、専用のクライアントソフトをインストールしなければならなかったりする。何もせずに接続すれば共通鍵のWEPである。

いちばんも安心なのはWPA/WPA2である。しかし公衆無線LANサービスでこの方式を使っているものは少ない。私が調べたかぎりでは、ワイヤ・アンド・ワイヤレスのWi2 300がサポートしている。しかし「ローミングエリア、バス車内、および一部店舗においては、WPA/WPA2(802.11i)に対応しておりません。 ご了承ください」とのこと。つまりWi2 300独自のアクセスポイントだけでWPA/WPA2が使えるようなのだが、エリアが狭くて話にならない。大多数はBBモバイルポイントやlivedoor Wirelessのローミングである。

このように公衆無線LANのセキュリティはかなりお寒い状況なので、自分の身は自分で守るしかない。HTTPS(SSL)でサーバとの通信を暗号化するのが必須である。

(参考記事)
Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep(TechCrunch)
http://jp.techcrunch.com/archives/20101024firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/

|

« iPhoneアプリの通信をパケットキャプチャ | トップページ | HTTPSを強制するFirefoxアドオン(HTTPS EverywhereとForce-TLS) »

コメント

この記事へのコメントは終了しました。