【悲報】IPA(情報処理推進機構)、無線 LAN についての無知な資料を作って絶賛放置中(訂正あり)
IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」:IPA 独立行政法人 情報処理推進機構
公衆無線LAN利用に係る脅威と対策(PDF)
記述に誤りがあったので修正箇所を紫にしています
| なお、公衆無線 LAN の場合は家庭内無線 LAN とは異なり、不特定多数の利用者が接続する環境であるため、AP 接続に必要となる SSID と暗号化キーを不特定多数の利用者で共有するケースもある。その場合、自分以外の利用者も同一の暗号化キーの情報を知っていることになり、CCMP を採用した暗号化通信であっても解読することが可能である。
※無線 LAN 機器の設定においては、CCMP ではなく AES(Advanced Encryption Standard)と表記されること |
あのあの、IPA さん?
・CCMPは改ざん検出であって、暗号化方式とは別なので、 使用する暗号によって、CCMP(AES)や CCMP(CBC-MAC) って書くのが正しいのだよ?・APへのアクセスキーとセッションごとの認証ごちゃまぜにしてない?(アクセスポイントのパスワード知ってたら、AP-端末間が暗号化されてても解読できると思ってる節がある。)
WEPはパスワードを知っていて、なおかつ先頭からパケットを監視していれば解読できるが標準でCCMP を使ってるのは WPA2 以上なので該当しないはず
サイバーセキュリティ・ピックアップ:無線LANにまつわるセキュリティの課題を再確認しよう (1/3) - @IT
Omnipeekを使いこなそう 第2回:暗号化された無線LANパケットの復号 | dit
| 暗号化キーを計算し、パケットの復号を行いますので、4つすべてのEAPOL-Keyパケットをキャプチャーできている必要があります。 また、WPA/WAP2-PSKの暗号化通信では、ステーションごとに暗号化キーが異なりますので、すべてのステーションの通信を復号する場合は、すべてのステーションのEAPOL-Keyパケットをキャプチャーする必要があります。 |
WPA2 であっても、EAPOL-Key パケットが全部キャプチャできていれば復号できる
→ アクセスポイントのパスワードを知っており、なおかつ最初から全パケットを傍受していれば、AP-端末間が暗号化されてても解読できるというのは正しい。WPAの TKIPだと途中で鍵が変わるため、それも傍受している必要がある(TKIPやAESが強固なのは、パスフレーズが分からない場合前提)
公衆無線LANの規制強化 「パスワード不要」自粛求める 総務省が来年度、サイバー攻撃の増加に対応(1/2ページ) - 産経ニュース
| パスワードを入力しなくても使える暗号化されていない公衆無線LANのAPでは、クレジットカードなどの重要な情報をやり取りすると、悪意のある第三者から情報を盗み取られる可能性もある |
なるほど、パスワードを知っていれば読み取れるから AP のパスワードが無ければ当然読み取れるわけですね
じゃあ、パスワード不要のAPだけ禁止にしても意味が全くないよね?
正確には次のような表を書いて制限する必要がある
| パスワード解析 | パケット傍受 (パスワード未入手) |
パケット傍受 (パスワード判明時) |
偽装 | |
| WEP | 容易 | 容易 | 容易 | 容易 |
| WPA-PSK | やや困難 | やや困難 | 容易 | 可能 |
| WPA2-PSK | 困難 | やや困難 | 容易 | 困難 |
| WPA2-EAP-FAST | 困難 | 困難 | 容易 ID/Password は共通ではない ので漏洩しな ければ安全) |
困難 |
| WPA2-EAP-SIM | 不可能 | 困難 | 困難 | 困難 |
| WPA2-EAP-TLS | 困難 | 困難 | 困難 | 困難 |
結論として、共通鍵のはなしだったら、WEP/WPA/WPA2-PSK 廃止して
WPA2-EAPにする必要がある
実際、DoCoMoなどのWifiスポットは、
PCで接続する場合 EAP-FAST方式になっており、
携帯で接続する場合は EAP-SIM方式になっている ・ω・
IPA さん、未だに MAC アドレスフィルター や ステルスSSID は一定の効果があるとか言う資料配布してるくらいですからね
ステルスSSID と MACアドレスフィルタリングの無意味さの実証実験をしてみた
要するに、総務省主導で、日本人の情報リテラシーを低下させる作戦ですね ・ω・
Translate
Comments