ネットワーク Archive

なんだかライブドアがおもしろげなことを始めたらしいのでちょっと書いてみる．
http://japan.cnet.com/news/com/story/0,2000056021,…

じつは近所でもブラウザ認証(Web認証：WEP認証とまぎらわしいのでこの書き方)の無線LANというのが存在していて，
これってDS使えないよね，という話もしていた．
その中でMACアドレス登録のブラウザ認証なし基地局でもつくろうかとかも話した．
で，ライブドアはやっちまったらしい．

で，まずさいしょに見つけたのはこのページ
最速インターフェース研究会
http://la.ma.la/blog/diary_200612260218.htm

それはここのつっこみ
Web屋のネタ帳
http://neta.ywcafe.net/000698.html

まあ，りょうほうなんだかよくわからんので書いてみました．

まず前提

- WEPキーはばれる．認証ってレベルじゃねーぞ！
- MACアドレスは詐称できる．IDってレベルじゃねーぞ！

もうひとつ

- ブラウザ認証もわりと大したことないかもしれない

これはちょっと不明でもある．
たんに一時的にMACアドレスを許可する程度なら
隣で正式認証している人がいればどうにかなるかもしれない．
どっかにVPN張りにいったりしていると強固かな．

さて，次に，セキュリティとはなにを守るのか．
考えられるものは次のとおり

- Livedoor WirelessのIDとパスワード
- 不正利用
- 通信内容

ちなみに上ほど守りたいもの．
個別に考えてみる．

- 通信内容

WEPキーはばれる．
http://kikuz0u.x0.com/td/?date=20061215#p03
やる気にならないでちょっとtcpdumpなんかで覗き見—なんてことはできないが，
やる気になれば割と簡単．
40分という時間は個別WEPキーなら結構長いけど共通ならゼロに等しい．

基本的にインターネットはインターネットなんで通信内容が盗み見されるということは
ここで守るべきものではないような気がものすごくしている．
そうは言ってもインターネットで適当な通信を盗み見するのと無線で隣の人の盗み見するのだと
後者が圧倒的に楽チンだろという意見もある．
これをどうにかしようと思ったら，VPNかWPAか．

VPNというのはVirtual Private Networkのことで，ここで使う場合は，
端末とライブドアのサーバの間を暗号化トンネルで接続して，
インターネットアクセスはすべてその暗号化トンネルを通す，というもの．
いまの技術ならこのトンネルの中を除くのはそうとう難しい．無理，と近似できるレベル．

WPAとはWifi Protected Accessのことで，WEPが使えないのでこっちにしよう，と考えられたもの．
これも隣の人の無線を除くのは難しいだろう．

逆に言えば，このどちらも使っていないならブラウザ認証だろうがMACアドレス認証だろうがべつに違いは無い．

- 不正利用

む，これ２つ意味があるな…

- 裏技で認証をくぐりぬけてインフラを不正利用
- 他人になりすましてインフラを不正利用

不正アクセス禁止法的にはもう１つくらいなんかあった気がしたけどとりあえずこの２つ．

前者は，いわゆるセキュリティホールを突く，ということで，これはがんばって防いでください，としか言えない．
問題は後者．

たぶん，今回のMACアドレス登録で一番問題視されているであろう懸案事項．
MACアドレス登録によって，不正アクセスがしやすくなるだろう，というのはその通りで，
隣でDS使ってインターネットアクセスしている人がいればそのMACアドレスをメモっておけばいい．
arpブロードキャスト禁止していようが隣の人のMACアドレスなんてフリーのツールですぐ調べられる．
所詮は電波を撒き散らして通信しているのだ．

で，
最速インターフェース研究会さんの，懸案

これは全く個人的な意見だけど、正規の利用者がMACアドレスを他人に知られただけで責任を負わされるというのは非現実的だと思う。その人のアカウント経由で犯罪が行われたとしても、どのアクセスポイントを使ったかなんてのは分かるんだから、普通にアリバイを証明をすればいい。ただし、同じMACアドレスで複数のアクセスポイントに繋ごうとした場合に、正規ユーザーにも関わらずアクセス制限をかけられるような可能性はあるんじゃないかと思う。そこら辺の仕組みはlivedoor Wirelessの中の人ではないので知らない。

は，間違い．
まず，MACアドレスを詐称して悪いことを誰かがした場合，正規のユーザに対して強い態度になんて絶対に出れない．
MACアドレスと個人情報がひも付けされるからなんとなく責任追求されそうな気がするけれど，
MACアドレスでは責任を追及するのは無理．
アリバイを証明する必要すらない．

あと複数のアクセスポイントに同時接続は普通に使っていてもありえるでしょう．
ローミングとかしてるだろうし．

ちなみにこの発言は，Web屋のネタ帳さんのこの発言への反応だろう

このベータサービスにGOサインを出したライブドアの中の人は、こうした無線LANのセキュリティの基本をまるでわかっていらっしゃらないようだ。「（MACアドレスだけで）いきなりつながる」ということは、間違ってそのへんの「野良無線LAN」につながってしまいしかもそれに気づかないという可能性は十分にありうる。それでMACアドレス情報が簡単に第三者にばれる。それはユーザー責任？ああそうですか。

さっきも言ったように，野良APにつなげなくたってMACアドレスはばれる．
無線LANの原理上防ぐのは不可能であるし，ユーザの責任なんかこれっぽっちもない．
MACアドレス詐称による不正アクセスは全てLivedoorのセキュリティホールでありユーザには関係ないことだ．
ライブドアは被害を受ける可能性があるけれどユーザにはそれほど害はないと思う．
これって実は正規ユーザが悪いことしたときに責任追及できないんじゃないかという別の問題があるんだけれど．

あと，うっかり別のセキュリティの甘いAPに接続してしまったとしても，別に自分に害はない．
積極的に使えるAPを探していたとしても窃盗行為かといわれると難しいだろう．
この記事の件
http://neta.ywcafe.net/000384.html
は他人のパスワードで不正アクセスしたから捕まったので，APの不正使用ではない．
もちろんそういうAPを積極的に利用するのは良くない事ではあるけれど，それだけ．
どこの馬の骨とも知れないAPなんか使うと通信内容見られたり危ないだろというのは，
さっきから言っているように正式なAP使っていたって見られるものは見られるんだから
べつに危険度が上がるわけではない．

- Livedoor WirelessのIDとパスワード

これは，突っ込むとたぶん今の全てのシステムが否定されてしまうのだろうけれど，
どう考えたって無線のブラウザ認証はフィッシングのいいカモ．

なので公衆無線LANに繋がった後に「WEB認証画面を見てURLが正しいかHTTPSで繋がっているかを確認して、本物のアクセスポイントに繋がっていると確証が持てたらユーザー名とパスワードを入力してログインしてください」ということを、記憶が定かではないが小学校の五年生ぐらいで教わったように思う。

おっしゃるとおりなのだけれど．
実はアクセスがHTTPであった場合，URLさえ信用できない．
無線だと，悪意のあるAPに接続してしまった場合，

http://hogehoge.livedoor.jp/

というURLのフィッシングサイトが可能なのである．
もちろんクロスサイトスクリプティングなんか使わずに，である．
これが可能なのは無線だからであり，普通のISP接続の時よりも危険である．
https接続であること．正しいURLであること．この２つを同時に満たせばもちろんOKなのだけど，
恐らくだれも気にしちゃいない．

なんか話が発散しそうなのでいったんまとめると，
ブラウザ認証はHTTPS接続であることを確認しようね．
オレオレ認証なんか言語道断だよ．
ということ．
今回の件とは関係ない．

以上から
Web屋のネタ帳さんの発言

一般的な話、公衆無線LANサービスのセキュリティは次のような要素によって守られている。

1. WEPキー
通信内容の暗号化のためのキー。無線LAN電波が傍受されることによるセキュリティ侵害からユーザーを守るためのもの。
2. 無線LANサービスのIDとパスワード
利用権限の無い人（ex.契約してない人、お金払ってない人）がネットワークに接続してしまうことを防ぐためのもの。また、無線LANサービスを経由してなんらかの犯罪行為がされた場合に、犯人を特定するための手がかりにもなる。
3. 無線LANサービスのIDとパスワードを打ち込む画面そのもの
たとえばこのページの一番下の画像のような画面がブラウザに表示される。この画面は「これからあなたがつなごうとしているネットワークはライブドアワイヤレスですよ」というアピールでもある。 もしもライブドアとはっきり書かれていないorこの画面自体が存在しないと、ライブドアワイヤレスにつなごうとして、うっかり別の無線LANアクセスポイント（セキュリティ設定の甘いやつ）に接続してしまうかもしれない。

は，ぜんぜんセキュアじゃない．
1のWEPキーは書いた通り．
3の画面そのものはむしろフィッシングの危険性がある分，余計に注意が必要．
画面がなくてうっかり別のAPに接続するというのはもちろん考えられるけど，
セキュリティリスクとは関係ない．

2のIDとパスワードによってユーザの犯罪行為に責任を取らせるというのは，
これは課金と同じくらいサービスするために重要なことなのだけど，
実際シラを切ろうと思えば切れるよなあという気がする．
特にMACアドレスベースのセッション管理なんかしてるとヤバそう．
まあ，これはLivedoorの問題かな．

公衆無線LANサービスの安全性なんてもともとこの程度に低いもんなんです．
とは言え，さっきからできるできるといっているWEPキーの解析(WEP暗号化通信の解読)やら，
登録されているMACアドレスの偽装は，実際やろうとすると相当大変である．
特に登録されているMACアドレスを探すのなんて，サービスエリア内でDS使っているひとを
ひたすら探してその横で無線キャプチャしなきゃならない．

今回の件でMACアドレスの詐称による不正アクセスの可能性が上がるのは間違いないのだけれど，
そうそう頻繁には行えないだろうというのが私の意見．

ということで，今回のLivedoor WirelessのMACアドレス登録によって変化するのは，

- ユーザの利便性が上がる
- ライブドアのリスクが上がる

というところかなと思う．
ただし，ライブドアのリスクは，実際に不正アクセスできることよりも，
正規ユーザが犯罪行為を犯した場合の言い逃れのチャンスを増やしているのではなかろうか？
という意味でのリスク．
ユーザのセキュリティリスクは大して変化しないだろう．

なんか今回の件のこととブログの誤解をいっぺんに書いたらごっちゃごちゃになってしまったorz

大丈夫？ワイマックス実用化　次世代の高速移動無線
http://japan.cnet.com/news/com/story/0,2000056021,…

年内にも免許方針案を決めて公募はじめようって時期に，いちゃもんがはいっているらしい．

　しかし、８月２９日、技術的条件を検討するなかで、隣接する周波数帯を衛星通信システム「Ｎスター」で利用するＮＴＴドコモが、ワイマックスとの干渉を避けるために両システム間に２０メガヘルツの空白地帯を設けることが必要と指摘した。

そもそもNスターって何よという話なのだけど，NTTドコモがもってる衛星通信網らしい．
離島のような遠隔地や船舶通話を受け持っているよう．
まあ，確かに結構重要なインフラですな．

で，20MHzの根拠ってなんだろうか
WiMAXの最高チャンネル幅が20MHzなんだけれど，それに関係しているのかな？
だけど，実際は，最高周波数が割当帯域に収まるように中心周波数割り当てるんでないのかな？
ドコモが要求してるのは，理論上完全空白な周波数域のはずだから
そこまで干渉するのか，という気は確かにする．
けれど，アナログな話はよくわからんのでやっぱり根拠が欲しい．

IEEE802.20の話は，基本的には別にレイヤ２の技術が会社ごとに
違っていても別にいいとは思うのだけど，
チャンネル幅が違うとかつまんない話で時間が延びるのはカンベンして欲しい．

まあ，個人的に，年内の方針決定は難しいと思う．
理由は上のもろもろなんか関係なく，各社のテンションの低さ．

当面は，20Mオーバーの帯域をフル活用できる携帯電話は
登場しないだろうと思う．

端末がないならインフラを急ぐ理由もない．

なので，しばらくは携帯電話の高速化で話が進むと思う．

つまんないけど．