Wi-Fi(WPA2)とhttps
異動で「徒然」な時間が全然無いorz
来月は、多少余裕が出て来るかな、かな、かな。
今日は(私用による)過労で倒れてようやく起きれるようになったので、投稿してみました。
校正? 推敲? なにそれ???(汗)
Wi-Fiの最新の暗号化通信規格WPA2の脆弱性が発表されました。
(各社の対応状況など、まだまだ未発表ですが。)
数年前から、WPA2は最初の接続時の鍵の管理に脆弱性があり、意図的に通信を妨害して切断させ、最初の接続(固定パスワードと乱数から鍵が生成される)から全てのパケットを拾えば、それなりに解読できるという指摘はありました。
今回の発表は、これの話なのか、さらに簡単に暗号を解くことが出来る別の脆弱性なのかわかりませんが、WPA2に代わるものがまだ無いので、危険を承知で無線接続を使い続けるか、有線接続にするかの選択となるようです。
なお、詳細は(公表されたことで犯罪に使われないようにということもあり)公表されていないようですが、子機側のアルゴリズムの問題のようです。
とある米国大手の無線LAN機器メーカーは、親機側はルーターモードで使用していれば問題は無いと早々に発表しています。(ブリッジモードだと問題が生ずる可能性あり。)
マイクロソフトは、Windowsのアルゴリズムを修正しWindowsUpdateで提供済です。
ただし、省エネモードへの移行などで制御がハードウェア側に移行してしまうと、ソフトウェアであるWindowsでは対処することが出来ないので、ハードウェアメーカー側の対応が必要とのこと。
なお、暗号化に使われているAES(256bit)の脆弱性はまだ確認されておらず、WPA2に使われいる鍵の受け渡し方法の脆弱性のようです。
(httpsも、基本的には同じ暗号化技術が使われていますし……)
さて、そこで、なろうのhttps化。
全く暗号化されていないWi-Fiを使っていても、https通信であれば通信内容は暗号化されているので、httpsの暗号化が破られない限りは第三者による傍受はほとんど気にしなくてよいわけです。
(暗号は、いつかは解読出来る〜数十年とか数億年とか〜ので、不可能とまでは言い切れません。)
ただし、どこと通信しているかはバレます。秘匿したい場合はVPNなどを利用しましょう。
日本以外では、そもそも全く暗号化していないWi-Fiを愛用している人だらけ(汗)ですから、GoogleはGoogleが提供するサービスを全てhttps化しちゃってますね。
GMAILの内容とかがダダ漏れだと、Googleには責任が無く、Wi-Fi利用者の責任なのですが、無知なWi-Fi利用者が騒ぎまくるのが容易に想像できます(汗)
VPNサービスがそれなりに提供されているのも、Wi-Fi暗号化の代替手段としてなのでしょうか。
(日本の公衆無線LANも、暗号化していないか、WEPという暗号化の意味の無い方式ですし……)
WEPは、暗号鍵が分からなくても(暗号強度がかなり弱いので)イマドキの普通のPCの演算能力で数秒で解読可能と言われています。
が、それ以前に、利用者は全員同じパスワードを使っているので、利用者同士の間では暗号化されていない状態となります。
つまり、同じアクセスポイントを利用している他のユーザは、他人の通信内容を傍受するのに何の努力も必要ないし、傍受は完全合法です。(傍受内容を悪用したら犯罪に問われることがありますが。)
例えるなら、ホテルの玄関には錠があり、ホテル利用者全員共通の鍵(あるいは暗証番号)が提供されているけど、各客室には錠が無く、ホテル利用者なら誰でも自由に開閉できるホテルということになるでしょうか。
まあ、通販サイト等のID、パスワード入力は、常識的にhttps接続ですから、どのサイトに接続し、何を閲覧し、何を買ったかという行動を知られるところまでが今回の脆弱性だと割り切って使うことになるのでしょうかね。
なお、Androidは、大元となる基本コードはGoogleが提供していますが、これを各メーカーや各キャリアが自社ハード用、あるいは自社独自サービス用に改造しているので、各キャリア・各メーカーがソースコードを書き換えて提供しない限りは、このセキュリティホールが塞がれることはありません。
(NEXUSやAndroid oneは、例外的にGoogleが管理しています。その分、特殊機能が無いわけですけど。)
iOSの場合、アップル社の一社提供ですが、たしか現行と1世代前しかサポートしないので、それより古いものはセキュリティホールが塞がれることはありません。
どちらの場合も、スマホならLTE接続で使用して、Wi-Fi接続を一切利用しないなら大丈夫です。
……ですが、それ以外のセキュリティホールがたくさん放置されてますから、ハードウェアがピンピンしていても最長2年毎に買い換えないと危ないという現実があります(汗)
Androidでも、iOSでも、レンダリングエンジンのセキュリティホールで、「Webページを閲覧しただけでマルウェアに感染する」事例が多数報告されています。
無料アプリでは、広告が画面に表示されるものが多いですが、この広告(広告流通会社により配信される)に悪意のあるJPEGが含まれているだけで感染してしまいます。
(勘違いした店員さんが主張していたりする「iPhoneはマルウェアに絶対に感染しません」というのは、全くの嘘です。アプリ提供をアップル社が管理しているので、悪意のあるアプリが提供される可能性が低いだけで、メール受信やWeb閲覧等で感染する危険性は高いです。)
Androidの場合、ver.4.4(キットカット)まではレンダリングエンジンはOSに統合されていたのですが、各キャリア・各メーカーの多くがセキュリティホールを塞がず放置しているのに業を煮やしてなのか、ver5(ロリポップ)以降はOSから切り離してGoogleが直接アップデート出来るように改良されました。
(なので、「AndroidシステムのWebView」はGooglePlayで積極的にアップデートしましょう。)
Androidでは、システムのレンダリングエンジンを利用しないGoogleChromeやMozillaFirefoxなどがありますが、無料アプリの広告表示などはシステムのレンダリングエンジンが利用されてしまいます。
また、多くのブラウザは、システムのレンダリングエンジンを利用しています。独自にレンダリングエンジンを搭載しているブラウザは少ないです。(メール等の表示もシステムのレンダリングエンジンが使用されているはずです。)
(iOSでは、システムのレンダリングエンジン以外の利用はアップル社によって禁止されているので、必ずiOSのレンダリングエンジンが利用されます。従って、このレンダリングエンジンにセキュリティホールがある場合は、感染可能性があります。)
