スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。

※2016年09月08日:タンブラーにPSK(事前共有鍵)について関連情報を掲載した。
※2016年12月16日:タンブラーにPSK(事前共有鍵)について関連情報を掲載した。
※2017年04月02日:タンブラーにmacOS Server+AirMac Extremeで構築するWPA2エンタープライズについて掲載した。
※2017年04月29日:タンブラーに平成29年度春期 情報処理安全確保支援士試験の午後1問題の解説と併せてWi-Fiセキュリティについて関連情報を掲載した。
※2017年10月17日:『Wi-FiのWPA2脆弱性「KRACK」、今ユーザーにできる対処法』を掲載した。


問い:暗号化されていないスターバックスのWi-Fi(無線LAN)サービス「at_STARBUCKS_Wi2」は危険なのか。
結論:総合的に見ると一般的なWi-Fiスポットと大差なし。
   暗号化されていれば安心という勘違いから生まれた噂。個人LAN、公共LANによって暗号化の効力は異なる。

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_09432316.jpg
東京オリンピックに向けて、国は3万カ所にWi-Fiスポットを設置しようとしている。
 無線Wi―Fi、2020年までに3万か所で
 http://www.yomiuri.co.jp/it/20150419-OYT1T50114.html

スターバックスMacBook Air(アップル社製ノートパソコン)を広げ“ドヤ顔”をキメることを「ドヤリング」と言うらしい(笑)。
そしてこのスターバックスの無線LAN(Wi-Fi)サービス「at_STARBUCKS_Wi2」が暗号化されていないため“極めて危険”だという情報を得て、早速私もドヤリングをキメる準備を始めた。

おっと、MacBook Airはマイク・タケダのところにあるのだった。

同時に私のドヤリングスタンバイを知ったある女性は的確なアドバイスをくれた。
お馴染みロンドン3丁目(笑)からだ。

アップルウォッチの通話テストを行うため銀座へと繰り出した私は、大英帝国のマーチよろしく左手をあごの前に突き出し喋り続けた。ちょうど左フックの図だ。
私「ロンドンにもドヤリングってあるの?」
ロ3「何それ?」
私「スターバックスでMacBook Airを広げてドヤ顔をキメてる人のこと」
ロ3「初めて聞いた」
私「今度ドヤリングしにいくことになった」
ロ3「写真送ってね」
できれば止めて(制止して)ほしいんだが。
私「MacBook Airが今手元にないから、iMac 5K Retina(27インチ持ってくつもり」
ロ3「電源取れるの?」
腕も疲れたし通話をウォッチからiPhoneへと切り替えた。ま、正直を言うと周囲に聞かれるのが恥ずかしい内容へと展開したからだ(笑)。

27インチのデスクトップパソコンを持って行こうかというプランに反対もしなければ驚きもせず、電源の心配をしてくれるこの女性は優しいのか長い目で見ると私のためにならない友人なのか(笑)。

そういえば電源が取れないことを教えてもらった私は、MacBook Proでドヤリングすることにした。
家で綿密なドヤリングのリハーサルを行い、スターバックスWEBサイトから「at_STARBUCKS_Wi2」の利用登録を完了させ準備万端。

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_09433064.jpg
ベランダにて。

人生初めて(多分)スターバックスに入った私。
“ドヤリング”というサウンドが私を変えた気がした。

“ンダッペ”的なサウンドのコーヒーと思われる商品を受け取った私は満席の店内を見渡すと、目が合った女性2人組が席を立ってくれた。
注)ガン飛ばして追い払ったわけじゃない(笑)。

席に座れば15秒もしないうちに、私の対面の片割れ(2名席だった)の席に対し、外国人の若い女性が椅子を指さして何か聞いてきた。
私はすかさず This is a chair. と応えると、彼女は笑顔でそこに座った。
このくらい“間抜け”を通り越した英語を返すとむしろネイティブだと思われることが多々ある(笑)。

ブロンドの女性を味方に付けた私は早速ドヤリングの構えをしつつ、日本語で「ココ生まれて初めてきました」と声をかけたら「From USA」と返事をくれた。
ンダッペが美味しいので「あなたは何飲んでますか?これ美味しい」と伝えたところ「Student」と返事をくれた。

自動応答システムですかあなたは(笑)。

/*
後に“ンダッペ”の正体は「ダーク モカ チップ クリーム フラペチーノ®」という商品だということがわかった。
*/

ふと窓際を見ると、ノートパソコンを広げている人が5人もいる。
Windows系、マック(女性)、マック、マック、マック(女性)という順。
しかもマックは4人ともMacBook Airだ。噂は本当だった。
思わず背中からハグしそうになった。女性にだけ。

窓ガラスに反射した5人の顔を確認したが、誰もドヤ顔はキメてない(笑)。←ココ試験に出ますよ的な。

そこで私はデカいMacBook Pro(Retina 15インチ)を広げ、対面の自動応答ブロンド女性の顔が見えなくなったことを確認すると、Wi-Fiのスポットサーチを行い「at_STARBUCKS_Wi2」を見つけた。
確かに暗号化されていない
スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_02012273.jpg
鍵(南京錠)のマークがないものは暗号化されていないことを意味する。

at_STARBUCKS_Wi2」を選びWEBアクセスしようとすると、事前登録したIDとパスワードを入力する画面が表示される。この画面はSSL(ブラウザに鍵マーク。httpではなくhttps)接続(暗号化されている)であることを確認した。よってこのIDとパスワードはWi-Fiが暗号化されていなくてもSSLで暗号化される。

無事つながったので早速状況確認。
スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_02025141.jpg
IEEE 802.11n(一世代前)で暗号化なし(オープン)、5GHzで108Mbps(アンテナと端末間)でつながっている。
※スピードテスト1,2を行ったところ、実際のWEBアクセス速度は37Mbpsほどだったので、iPhoneのインターネット共有(テザリング※文末に解説あり)と速度は変わらない。

すかさずMacOS X Yosemite付属のネットワークスニファ(パケットキャプチャ)プログラムを動かしてみた。
※特別なハッキングツールではなく、ネットワーク管理者やエンジニア(に加えてマニア)が使うツールだ。

早速拾ったパケットを見る限り、yandex.ru(ロシアで一番有名なポータルサイト)にアクセスしている(しかもGSMと表示されたから古い電話機)人がいるようなので店内を見渡すと、ロシア語を話す男性グループ4人のうち1人が古い携帯電話をいじっていたのでこの人だろう。

/*
しかしWi-Fiアンテナ自体、ちゃんとスイッチング(インテリジェント)が機能しているようで、LAN上に全てのパケットが流れ込んできているわけではない。
昔はノンインテリジェントなハブ(通称バカハブ)も多く流通していたため、スピーカーと同じように全てのポート(端末)にパケットを流していた。
Wi-Fiアンテナ直のネットワークの場合は、アンテナ自体のスイッチング機能レベルに左右される。
*/


おそらくこうして他人のアクセスを覗き見できることを世間は「危険」だと言っているに違いない。

ちなみにこのスニファプログラム自体は違法でも何でもないことを申し添えておく。
無許可で接続したW-Fiスポットのスニッフィングや、暗号化された通信の復号は「通信傍受」と見なされる可能性がある。

有線・無線を問わず、同一LAN上のデータは、自分の分も他人の分も全てのパソコンのEthernetジャック(無線の場合はワイヤレスアダプタ)まで届いており、普段は自分宛でないものを破棄しているだけ。
テレビやラジオの電波と同じように考えてもらうとわかりやすいかと思う。自分が見たいチャンネルの電波だけが送信されてきているわけではなく、全てのチャンネルの電波が対象者(の地域全域)に送信されており、視聴者は自分が見たいチャンネル(電波)に合わせている(受信・視聴する)だけだ。
LANの仕組みも同じで、同一LAN(この場合同じWi-Fi)を使っている人のパケット(ネットワーク上でデータを転送する最小単位)は全て手元まで届いている。それを開封するかしないかの違い。

よってNIC(ここではパソコンのことと思っていただきたい)をプロミスキャスモードにすると、自分宛ではないパケット(データ)も全て開封するため、結果としてこうして他人の通信内容が覗き見できてしまう。
※Wi-Fiの場合「モニタリングモード」にするとそのチャンネルの信号を全てキャッチする。今回はプロミスキャスモードと両方行った。
※本来、通信内容を覗き見するというよりもネットワーク管理者が問題を発見するため(主に信号のやりとりの確認)に行う作業。


ただし前述のインテリジェントスイッチ(スイッチングハブ)で構成されたLANであれば、他人の通信パケットが自分のところに届くことはない。

/*
同一LAN上にある他の端末の電源が入った瞬間、その端末の名称が共有欄に現れるのはこれらの仕組みを活用したもの。
スターバックスの「at_STARBUCKS_Wi2」では、同時に接続している他のWi-Fiクライアント端末名称が表示されなかったため、IGMP スヌーピング機能が働いているかと思われる。もしかすると店舗によるのかもしれない。通常ならば“米澤儀明のコンピュータ”とか、“エリザベスのiPhone”、“武田のiPad”などの端末名が「共有」の欄に表示される。端末名に本名を設定している人は、その氏名の人物が現在店舗内にいることがわかってしまう。
*/


通常Wi-Fiは暗号化するのが基本で、WPA2パーソナルという方式が一般的だ。
WEP方式は暗号レベルが弱く簡単に破られてしまうことが知られており、もし自宅のW-Fiの設定がWEPになっている人はすぐにWPA2へ変更をおすすめする。

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_09433027.jpg

強い日差しはモノクロでも熱を感じる。

ではスターバックスのWi-Fiはなぜ「危険だ」と噂になっているにも関わらず暗号化しないのだろうと考える。
指摘している人たちは、スターバックスの「at_STARBUCKS_Wi2」ホームページにある「セキュリティ」のページに「暗号化されていない」旨がわざわざ記載されていることにも触れている。

しかしWi-Fiの暗号化の設定はとても簡単なので、あれ程までに大きな企業にできない理由はない。
むしろしない理由を考える方が頭の体操になる。

答えは簡単。
暗号化してもこの環境(見ず知らずの他人と同じWi-Fiを使う公共LANの場合)ではあまり意味がないから。

同一LANに入る(この場合同じWi-Fiを使う)時点で、暗号方式がWEPだろうとWPA(WPA2)パーソナルだろうと、PSK(Pre-Shared Key)と言い、皆が同じパスワードを使用するため(事前共有鍵方式)、通信を暗号化しても、どうせ暗号を解読するパスワードを皆が持っているのだから、暗号化されていない平文をリアルタイムに読み取るか、暗号化されたものを後から復号して読むかの違いしかない。
※スニファリングできる技術があれば大凡復号する技術も持っているのだから。

これは共通キー(PSK)方式の基礎的かつ根本的な問題だ。

PSK方式の暗号化が効果があるのは、自分(と家族など)しか使わないプライベートなWi-Fiの場合のみ。
家庭のWi-FIはWPA2パーソナルで暗号化しておけば安心だ。

※2016年09月08日:タンブラーにPSK(事前共有鍵)について関連情報を掲載した。

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_09433152.jpg
この場合(PSK)の暗号化を家の玄関の鍵に例えると、鍵はかけた(暗号化あり)けど、鍵を玄関の前の植木の鉢の下に置いておき、近所中の人たちがその存在を知っているのと同じ。★Aとする。
一方スターバックスのWi-Fiは、玄関の鍵は開けっ放しだけど(暗号化なし)、出入りできる人を事前にリスト化(登録制)するという方式。★Bとする。

★Aは近所ではないところから来た人は鍵のありかを知らないので、宅内への侵入は防ぐことができる。しかし近所中が鍵のありかを知っているので、その誰か侵入しても個人を特定することはできず「近所の誰か」(または近所の誰かが漏洩した)としかわからない。
★Bは許可されている者は宅内に入ることができるが、鍵自体は必要ない。その代わり必要に応じて侵入者(または侵入者にIDとパスワードを与えた人物)を特定できる。

情報とは盗まれた時点で完全な解決というものは存在しない。物品の盗難と異なり、モノが戻ってくれば一件落着とはいかない。

これはWi-Fiに限らずホテルの客室のインターネット接続サービスも同じ。
同じLAN上(多くの場合ホテル客室全室)にいる人には自分の分も他人の分も全てのパケットが届いている。
※そのためシティホテルでは、メールなど重要なデータは盗聴を防ぐためにVPN等をお使いくださいという注意書きをたまに見かける。
※これも前述の通り、インテリジェントなスイッチングハブで構成されていれば防ぐことができる。よってLAN構築の経費はケチるものではない

/*
よって私のような職種(?)の人間はVPN(Virtual Private Network)というものを使い、有線・無線を問わず全ての通信をトンネリングかつ暗号化する。そうすればWi-FiやホテルのLANが暗号化されていようとなかろうと、ノンインテリジェントハブ構成であろうと関係なく機密は守られる
ただしVPNを使うにはグローバル(外部)からアクセスできる環境にVPNサーバーを置いておかなければならないので、管理の手間とランニングコストがかかるという意味で一般的ではない。余所の商用VPNサーバーを利用する場合その多くは有料だ。
※使い方を間違えるとVPNサーバーから先が監視・傍受されていれば意味をなさないこともある。

会社のメールを公共LANから受信する場合でも、受信・送信ともにSSL接続する場合はメールの内容を傍受される恐れはない。

クリミナル・マインド FBI行動分析課(米2005年〜)のペネロープ・ガルシアが、FBIクワンティコ(本部)の無線LANを使ってネットゲームをしてうっかり犯人にFBIのシステムに侵入されるなんていうシーンがあったが、彼女
ほどのハッカーにそんなうっかりはまず考えられない。ドラマならではの展開。
*/

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_10115759.jpg
2号店のコードネームは“ソプラノ”と呼ばれている。

/*
今のところ公共無線LAN は「WPA2エンタープライズ」(WPA2-EAP)にするのが一番いい。WPA2の暗号化の際に別途IDとパスワードを含めたキーを使用するため、
公共無線LANにもってこいだ。ただし別途認証サーバーを必要とするため、無料Wi-Fiスポットにそこまでお金をかけてもらえるかという点が、社会的合理性に基づく各企業の判断によるところ。
これ(
WPA2エンタープライズ)に対応したWi-Fiサービスを各キャリアが提供している。docomo Wi-Fi0001docomo)、au Wi-Fi(au Wi-Fi 2)、Softbank Wi-Fi(0002Softbank)など。いずれもSIMを認証に使っているので(「EAP-SIM」認証方式)、固有の暗号キーが生成される。公共の場ではこちらを使う方が安全だ。現時点で最善策かと思われる。

MACアドレスで接続端末を限定するというセキュリティ対策もある。が、今回の場合はスターバックスの無線LANに既につながっている人から覗き見される可能性を懸念しているのだから意味をなさない。

私が使用しているアップル社のWi-Fiアンテナ「AirMac Extreme」はWPA2エンタープライズに標準対応しており、認証はRadiusを使用する。MacOS X ServerにはRadius認証サーバー機能があるので、10分もあればセットアップが可能だ。
無線クライアント同士が通信できないようにするネットワーク分離機能(またはプライバシーセパレータ機能)という名称のものはないが、私が確認した限りインテリジェントなスイッチとして機能しているし、「ゲストネットワーク」機能を使うことで、公共無線LANとプライベート無線LANを分離して運営することができる。また「IGMP スヌーピングを使用」をオンにすれば他のWi-Fiクライアント端末にコンピュータ名が表示されなくなる。
*/


スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_10422092.jpg
スターバックスのWi-Fiの話に戻ると、危険なのかというと、私は「そうでもない」と応える。
例の「at_STARBUCKS_Wi2」は危険だという噂では、FacebookなどのID、パスワードが乗っ取られるという説もあるが、Facebookのログイン画面はSSLで暗号化されているし、googleは検索自体がSSLで暗号化されている。YoutubeもTwitterもSSLで暗号化されているし、楽天も個人情報を用いる箇所は全てSSLで暗号化されている。
インターネットバンキングはもちろん、今は大手WEBサイトの主要ページはほとんどがSSLで暗号化されているし、ショッピングサイトの注文画面などは100%に近い確率でSSLで暗号化されている。
パソコンのブラウザから対象サイトまで全てSSLで暗号化されているのだから、Wi-Fiが暗号化されていなくても安全だ。

こうした公共回線(無線、有線問わず)からアクセスする際は、ブラウザ(マックではSafari、FireFox、Chrome、Operaなど、WindowsではIEなど)でWEBサイトにアクセスした際に、URL欄(アドレスバー)に鍵(南京錠)のマークがあるかどうかを確認しよう。

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_12451644.png
かといって心配しすぎて何もできなくなるのも良くない。
特にID、パスワード、住所、電話番号、クレジットカード番号などを送信しないのであれば、さほど気にする必要はないかと思う。
別に今私が「ブルーベリーの効能について詳しいページを見た」ことがバレたからと言って何も困らないのだし。
心配することよりも、個々の情報の重要性を理解することの方が大事。

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_10302579.jpg

家のWi-Fiの通信内容も他人から全部見られてるの?
と心配する人もいるかもしれない。
Wi-Fiが“WPA2”で暗号化されていて、その暗号キー(パスワード)を他人に教えたり(共有したり)漏れなければ大丈夫。
家庭のWi-Fiの暗号化はWPA2パーソナルがおすすめで、パスワードは最低でも8桁以上の英数字で。

今回のブログは、飽くまで不特定多数の人が同じWi-Fiを共有する公共無線LANについてのセキュリティ考察だ。

結論としては、同じWi-Fiに入った時点で「家族」同居人」と同じレベルで考えていただきたい。
「家族」になれない相手なら、特にビジネスシーンにおいては例えお客さんであっても社内無線LANなどにアクセスを許可すべきではない
※インテリジェントなスイッチで構成され、パケットが分離できていることが明らかな場合はこの限りではなく、十分な知識と検証の上許可することはありだと思う。

よって(機器構成を確認できない状況下において他人と共有するWi-Fiのセキュリティは、WPA2エンタープライズ以外はどれも大した差はないということ。
逆に暗号化していることに安心しきってしまうのも危険だ。一度Wi-Fiのパスワードを知れば他のフロアや隣のビルからでもアクセスできるのだから。

今回の「at_STARBUCKS_Wi2」危険説は、心霊写真黒塗りのベンツ論と同じく、十分な知識がないまま憶測で広まった危険説だと言える。

注)見知らぬフリー(IDもパスワードもいらない)のWi-Fiにはつないではいけない。「タダでラッキー」ではなく、あなたの情報を盗むために設置されたトラップだと思って大凡間違いない。

スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。_f0337316_10390573.jpg
だ1つ疑問に感じたのは、スターバックスがWi-Fiを暗号化しないのは合理的な理由があると受け止めたが、利用者に事前にIDとパスワードを登録させるのだから、そのままWPA2エンタープライズに対応するのは簡単なのではないかと思う。
そうしない理由はわからなかった。既に認証サーバーは運用されているということなのだから。

スターバックスにいたのは10分ほどで、帰る頃には窓際の1人が入れ替わり、5人とも全員MacBook Airとなっていた。
誰もドヤ顔はしていなかったが、Airばかりという説は本当だった


まとめ
殴られても蹴られてもパスワードをはかない(ジェームズ・)ボンドは偉い

/*
iPhoneを使っている人は、iPhoneをWi-Fiスポット(アンテナ)代わりに使うことができるので、公共無線LANが心配な場合はこちらを。
※他のスマートフォンは持っていないので解説できないが、似たような設定かと思う。
iPhoneの設定/インターネット共有をオンにすると、パソコンのWi-Fiスポットに自分のiPhoneの名前とインターネット共有の項目が現れる。これを選択し、iPhoneに表示されている「“Wi-Fi”のパスワード」を入力すれば、iPhoneの契約回線を使用しインターネットにアクセスすることができる。
私の手元の環境(iPhone 6 ドコモ)では802.11nでつながり、iPhoneとパソコン間の転送レートは73Mbpsと出た。IPアドレス(FQDN)はxxx.xxx.pn.imtp.tachikawa.spmode.ne.jpで、スピードテストの結果は37Mbpsほど。
これらはテザリングと呼ばれていて、詳しくはdocomoausoftbankのサイトを。
*/


参考資料:
 Wi-Fi(無線LAN)の安全な利用について - 総務省
 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/wi-fi.html

参考資料(追加2016年08月15日):宿泊中のホテルの無線LANを使う場合。

インターネットセキュリティとインターネットの単位(bpsなど)の勉強は、そろそろ中学校あたりから義務教育に取り入れた方がいいと思うチャーリーであります。
なぜなら、人が築き上げたものを一瞬でさらわれてしまう恐れもある程(これからの社会を生きる上で、人生を左右する程)の重大な領域だから。
親世代はそもそも習っていないので子供に教えてあげられない人が多いから、こういうことこそ税金を使って義務教育に取り入れるべきだと思うのであります。

Photographer&Engineer: Charlie

※2016年09月08日:タンブラーにPSK(事前共有鍵)について関連情報を掲載した。

by charlie-ls | 2015-04-30 13:56 | 寄稿ブログ

情報処理安全確保支援士☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31