慎重姿勢から一転、航空機や新幹線で無線LANの無料化広がる
コメント
注目のコメント
既にコメントにもある通り危険なのは確かですが、果たして暗号化されていればよいのかというのは別問題として議論の余地があります。
そして暗号化にも複数考える切り口があります。
まずはアクセスポイント自体のパスワードのお話。
これについては公共無線LANという艇を採る以上導入は必須と言えます。
次にAOSSL等のWEBサービス側の話。
これは万が一通信を盗聴されていた場合に、たとえパケットを観測されたとしても内容が分からなくするというお話しを各WEBサービスがSSLなりTLSなりに対応することでやりましょうというお話です。
そしてもう一つはモバイルアプリの通信です。
公共無線LANの使用者の多くは今やスマートフォンでしょう。
そんな中一体いくつのアプリがSSLピンニング等のMITMやスニファリングに対する対策を講じているでしょうか。
このような暗号化に関する話もそうなのですが、これっていわゆるMITMや盗聴に対する対策に過ぎないのです。
少しオフェンシブセキュリティをわかっている人であればご理解難しくないのではないかと思いますが、攻撃対象のデバイスと同一ネットワーク上にIPを持っていることの意味は非常に大きいのです。
例えばNSAが実際に持っていたWindowsのゼロデイをつくRCE(Remote Code Execution)のようなExploitを撃ち込まれれば簡単に権限を奪取されてしまいます。
Pivotingも必要ありませんし、FWも気にする必要はないのです。
個人的に必要だなぁと思うのは公共無線LANネットワーク内にIDSなり何らかのネットワーク監視(攻撃をトリガーとするもの)を行うことだと思っています。こうした公共的無料Wi-Fiが増えてくると、暗号化が不十分だったり(現時点で18%が暗号化されておらず、7%が旧式)、それを装ったテンポラリーな詐欺Wi-Fiが出てきて(特にオリンピックなどの時期)、打鍵したIDやパスワード情報や、端末内の情報を抜き取られるリスクがあります。
実際に、リオオリンピックでは多数の被害があり、東京オリンピックでは悪意のハッカー達にとって次の「お祭り」になると期待されているようです。
IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」
https://www.ipa.go.jp/security/technicalwatch/201600330.html
公共無線Wi-Fiの利用は、最新の暗号化されているか、それが普段から使っているものかどうか、などを確認したうえで、重要な情報のやりとりを基本的にしない、する場合はVPNを使う、などの注意が必要です。
同様の指摘を、ソフトバンクの孫正義社長もしていますが、
"無料Wi-Fi廃止論" 孫社長が指摘したリスクを元ソフトバンク社長室長が解説! https://abematimes.com/posts/2562619
これはLTE回線の優位性を高めるためのポジショントークの側面が強そう。
