--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2012.07.03 21:07|カテゴリ:Security

ノマドっぽい人が歓喜して、クラッカーっぽい人がもっと歓喜するスタバの無料Wi-Fiサービス


 ノマドという言葉が流行っております。
 
 なにやらとてもかっこいい響きなので私も憧れるのですが、いかんせん私は自宅が好きなので、ノマドにはなれそうもありません。

 しかし、世間的にはノマドっぽい方が増えているようで、しゃれおつな雑誌なんかでも「ノマド特集」みたいな特集がよく組まれています。

 そのような中、ノマドっぽい方々御用達と言っても過言ではないスターバックスが、次のようなサービスを始めました。

at_STARBUCKS_Wi2


 さすがスターバックスです。Wi-Fiの利用料は無料です。まずは東京23区内の約200店舗、そして年内に全国約850店舗に展開するそうです。


 しかもですよ。


 暗号化してないので面倒な設定不要!


 「ワイルドだろう?」

 
 そんな流行り言葉が聞こえてきそうです。実に剛毅なサービスです。

 検索すると、世の中のノマドっぽい方々がこのスタバの無料Wi-Fiサービスに歓喜の声をあげているのがTwitterやブログで見つかるのですが……。


 おそらく、それ以上に歓喜してそうな人たちがいそうです。
 
 そう、他人さまのパスワードを狙っているような、いわゆるクラッカーっぽい(実際にはスクリプトキディ程度の連中)方々です。

 なんせ、ワイルドにも暗号化なしですからねぇ。不用意にSSLではないサイトにログインしたりしようものなら、パスワードは丸見えです。また、メールソフトの設定も大丈夫なんでしょうかねぇ?パスワード、平文でやり取りしてるかもしれません。っていうか、どういう設定になっているかもろくすっぽわかっていなかったりして。
 
 自宅ならまだしも、外で利用するならそれなりの設定をしておかないと危ないですよ。もちろん、プロバイダがセキュアな認証に対応していることも必要です。

 普段から意識してSSLのサイトにしかアクセスしないようにしていたり、適切な設定でメールを利用していればまだしも(これでも完璧ではない)、普段使っているMacbook Air(スタバにいるノマドっぽい方はこのイメージ)やPC、スマートフォンをそのままつないで使ってしまったら、気づかないうちに大切なパスワードを盗まれてしまうかもしれませんよ。


 とまあ、ちとおふざけ気味に書いてみましたが、いかにもノマドでかっこいいスタバのWi-Fiサービスって、その辺の野良Wi-Fiと大して変わらないくらい危険なんだってことをいいたいだけです。

 
 あえて、「ノマドっぽい」という言い方をしているのは、真のノマドな方々はおそらくそんなことご存知だから。本当のノマドな方はそんなヘマはなさらないでしょうし、それ以前に回線程度は自分で用意しているはずですからね。わざわざ、危険なWi-Fiに接続するとも思えません。
 

 ただ、スタバ側の姿勢にも少し問題があると思うんですよ。
 
 暗号化がなされていないことが、以下のようなわかりにくいところのリンクをクリックしないと表示されません。



 クリックするとこのようなページが現れます。
 
セキュリティー|at_STARBUCKS_Wi2


 そこにはこんなことが。


◆ 危険性に関して

公衆無線LANサービス「at_STARBUCKS_Wi2」の無線LANは暗号化をおこなっておりません。
この為、無線区間での通信内容の傍受とアクセスポイントのなりすましの危険性があります。
ログインで使用するログインIDとパスワードはSSLで暗号化されていますので、上記の危険はありません。



 書いてありますねぇ。
 
 「暗号化を行なっておりません( ー`дー´)キリッ」

 あ、「( ー`дー´)キリッ」はつい私がつけ足してしまいました。なんか、そう言ってるような気がして。ごめんなさい。


 そして、こうも続いています。


<危険性の回避について>

通信内容の傍受に関してはご利用者様がVPN等の利用することでこの危険を回避することができます。
また、VPN等を利用しない場合でも秘匿性の高い通信にはSSL等が利用されていることを
ご確認いただくことで秘匿性の高い通信内容の傍受の危険性を回避することができます。



 微妙ですね。SSLでも無防備なWi-Fiを経由していると、必ずしも安全とは言い切れないのですが、「SSL等が利用されていることをご確認いただくことで秘匿性の高い通信内容の傍受の危険性を回避することができます」って言い切ってます。

 まあ、ぶっちゃけ暗号化していたところで、不特定多数の利用者が共有するパスワードでは安全性は保証できないのですが、クラッカーもどきのスクリプトキディさんくらいであれば、破られずに済むのでそれだけリスクは大きいと言えます。
 また、今回はスタバをディスりましたが、もちろん他にもたくさんあります。世の中には無防備な無料Wi-Fiが多すぎです。

 基本的には自分が管理していないネットワークは信頼してはいけません。
 
 ましてやビジネスともなると、それだけ機密性の高い情報を扱うこともあるでしょう。真のノマドを目指すなら、セキュリティにも気を配ってほしいものです。

 



Re: タイトルなし
> 暗号化がないってソフトバンクWiFiスポット(うち0001softbank/FON)やauのiPhone 4Sのau WiFi SPOT(うちWi2/Wi2premium)やFONと同じでは?
> 個人的にはソフトバンクWiFiスポットのセキュリティリスクについて書いてほしいです。
> 参考
> ttp://d.hatena.ne.jp/takuya_1st/20111204/1323025896

一応、記事内にも「もちろん他にもたくさんあります。世の中には無防備な無料Wi-Fiが多すぎです。」と書いており、これらはご指摘のサービスを指しています。

今回は、ちょうどサービスが始まったこと、手放しで賞賛する人たちが多かったことに危機感を感じ、書かせていただきました。

ソフトバンク他のサービスにも同様のことは感じておりますが、まずは今現在話題性の高いスタバのサービスを取り上げたまでです。機会があれば書くかもしれませんが、新たな視点がないと改めて話題にしづらいところではあります。
[ 2012/07/04 00:15 ] [ 編集 ]
Re: タイトルなし
> 通常のWiFiのようにSSID+WEPやWPA,WPA2などで暗号はしていなく、
> ブラウザからSSLにてID,PASSで接続できる方式といだけなので、文中の
> "不用意にSSLではないサイトにログインしたりしようものなら、パスワードは丸見えです。また、メールソフトの設定も大丈夫なんでしょうかね"は何かおかしいと思います。
>
> 通常のWiFiでないISPでも”不用意にSSLではないサイト〜”なのは同じですから。

誤解があるかもしれませんが、at_STARBUCKS_Wi2のログインはどうでもいいのです。
at_STARBUCKS_Wi2のログイン後に普段使っている他のサイト(例えば標準で非SSLのMIXI)などにアクセスすると、そのパスワードを盗まれますよという意味で書いています。

また、メールも同様です。暗号化していないWi-Fiにつながった状態で、POP over SSLやAPOP(APOPにも脆弱性がありますが)を用いずに、平文でPOPのパスワードを送出するようなメール設定だと、メールアカウントのパスワードを盗まれるということを警告しています。

それから、「通常のWi-FiでないISP」という意味が今ひとつわからないのですが、家庭などに引いているブロードバンド接続のことを指しているのであれば、その家庭のネットワークに侵入するには物理的な侵入が不可避となりますので、危険性は同じではないと思います。

「通常のWi-FiでないISP」の解釈が間違っているようであれば、もう少し補足願います。
[ 2012/07/04 01:58 ] [ 編集 ]
承認待ちコメント
このコメントは管理者の承認待ちです
[ 2012/07/04 10:49 ] [ 編集 ]
Re: タイトルなし
> 良くわからないのですが、不特定多数の人間が接続できるサービスなら、どう暗号化しようとそのカギは誰でも入手できるわけで、暗号化してない事は全く問題ないのでは?
> 安全でないという事をユーザーにもっとわかりやすく説明すべきというのはわかりますが。

それについては記事内でも以下のように言及しています。
「まあ、ぶっちゃけ暗号化していたところで、不特定多数の利用者が共有するパスワードでは安全性は保証できないのですが」

ただ、それはおいておいて。

>暗号化してない事は全く問題ないのでは?

これは違います。
不特定多数というのは全員ではありません。つまり、何らかの暗号化を施したWi-Fiスポットである場合、少なくともそのサービスの存在を知っていて、かつ暗号化に使用している鍵を知らないといけません。有料のサービスであれば、そのサービスにお金を出して加入しなければなりません。また、大半の有料サービスは基本的に個人情報を登録します。少し手間ですし正直に登録した場合、最悪不正アクセスを追求された時に捕まってしまうかもしれません。当然攻撃者は身元を偽ることになりますが、それは結構めんどうです。

一方,暗号化していない場合、鍵の入手の必要がありません。

鍵がいるかいらないかによるリスク。その違いはサービスの提供形態によって大きくも小さくもなります。
暗号化しておらず、無審査で誰でも使えるサービスの場合、危険性はとても高いでしょう。

あくまでも程度の問題ではありますが、まったく暗号化されておらず、誰でも利用可能なWi-Fiと、誰かが暗号化を施し、鍵を知らないと利用できないWi-Fiでは、差があると考えます。

技術面だけで捉えれば、あまり差はありません。しかし、実際に攻撃者が攻撃に踏み切るかどうかといった点では両者に違いがあると思いませんか?

想定していらっしゃるのは、暗号化を施してはいるが誰でも見ることができるところに鍵が書いてある場合だと思いますが、それは確かに暗号化していないのと大差はありません。でも、実際には誰でも見ることができるわけではないと思います。
「店に入ったら鍵がわかる」というレベルでも、「店員や他の客に姿を見られる」、「店の監視カメラに姿が映る」といったリスクがあります。

捕まる気のない攻撃者であれば、スタバの外からWi-Fiスポットにアクセスしたほうが、店に入って鍵を確認しなければならない他のWi-Fiスポット(これはあくまでも比較のための例ですが)より、手間はかからないし、リスクも低いと考えるとおもいます。
[ 2012/07/04 22:12 ] [ 編集 ]
承認待ちコメント
このコメントは管理者の承認待ちです
[ 2012/07/12 18:18 ] [ 編集 ]
コメントの投稿












管理者にだけ表示を許可する
検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。