FONなど野良WiFiの通信内容傍受の危険性について
こちらの記事などにもありますが[Securing your iPhone's traffic | Macworld]、iPhoneの普及で広まりつつあるFONなどによる野良WiFiネットワークの持ち主は、簡単にその通信を傍受する事ができます。
よってSSLや暗号化VPNで暗号化されていない通信は、多少の知識があれば、ほぼ丸見えです。
特にメールのパスワードはSSL(またはAPOP)で暗号化していないと簡単に盗む事ができてしまうので、メールの送受信は必ずSSLの設定にする必要があります。
最近のISPさんはほとんどメールのSSL設定に対応してきていますが、一部SSLでのメール設定に対応していないISPさん(hi-hoなど)も残っていますので、そういった場合はSSL設定のできるgmailなどで代替するとよいでしょう。
同様にSSLになっていないWebページも同じように、内容が丸見えになっている恐れがあります。
たとえば、課金が発生しないようなお遊びサイトはパスワードの入力が未だにSSLではないものもありますし、SNSのメッセージ閲覧画面などもたいていはSSLにはなっていません。
野良WiFiが出てくる以前は、通信がISPや携帯キャリアなどのある程度信頼できる事業者のネットワーク内しか通らなかったため、暗号化されていなくても現実的には問題にならなかったのですが、今後はこういった部分も問題になってくるものと思います。
むしろ、今なんで問題になっていないのか不思議なくらいです。
iPhoneなどには、こういった危険性を考慮して、暗号化VPN機能が搭載されています。
暗号化VPNとは、SSLのようにアプリケーション単位で暗号化を行うのではなく、通信路そのものを暗号化する技術です。
上記記事をみると外国ではすでにあるようですが、同じようなVPN接続サービスが、国内でも早く出てきてほしいものです。
(2011/12/06追記) 今更ですが、野良WiFiじゃなくても暗号化方式がWEPであれば最近は瞬殺でデコードできるので、そのへん飛んでる電波から簡単に傍受できてしまいます。
(2011/12/06追記) そんな事するしらなくても、もっと簡単にじゃんじゃん傍受できる世の中になってた件:「0001Softbankというオレオレ基地局に、SBアンドロイドが無差別に接続する話を試してみたら、意外とあっさりつながったのでエントリに。」[0001Softbankというオレオレ基地局で遊んでみた。 - それマグで!]
・・・とか、ほんとはこういう説明的な事を書くつもりはなくて、なんでVPNサーバを立てたかの説明を書いてたらこうなっていました。。。
VPNサーバ設定メモ[ さくらのVPSでiPhone用の野良WiFi通信傍受対策のPPTPサーバ(VPN)を設定したメモ(CentOS5) - nori_no のメモ]に続く。。。
参考情報
- (2010/9/21追記) 「海外ではフリースポットがインフラになりつつある。多くの人が違和感なくアクセスしている様子を見て新井氏は「いつかは破綻する。カウントダウンは始まっていて、情報が盗まれる大きな事件が起こる」と見ており、だからVPNを使うべきだと話す。」[スマートフォンを襲う脅威―モバイル活用が一転、リスクに - (page 2) - CNET Japan]
- (2010/10/26追記) 「ユーザーが取るべき対策として暗号化されていない無線LANを使わないこと、VPNを利用することなどを挙げた。」[アカウントを乗っ取るFirefoxの拡張機能が公開 大手サイトの実態に警鐘 - ITmedia NEWS]
- (2010/10/26追記) 「オープンWi-Fiを使ったとたんに、誰かがあなたになりすまして、あなたのもっともプライベートな情報にアクセスできてしまう。」[W-iFiでログイン情報を盗み取れるFirefoxアドオンFiresheep | TechCrunch Japan]
- (2010/10/26追記) 「FiresheepはオープンWiFiを通じてアクセスした場合、ほとんどありとあらゆるソーシャルネットワークのログイン情報を傍受できるソフトウェアだ。」[FiresheepからWiFiでログイン情報を守る方法 | TechCrunch Japan]
- (2011/11/01追記) スマートフォンと野良WiFiの普及で主要なサイトはどんどんSSL化していっていますね。googleは検索キーワードと結果もSSL化するそうです。ただそうじゃないサイトの方がまだ大半だったり、スマフォ専用アプリだとSSLなのかどうかもよくわからないので、もっと手軽にVPNの利用ができるようになったらいいなと思います。
- (2011/12/06追記) 画像URLがわかってしまうだけで発生するこういう問題にはhttpsは無力なので、野良WiFiキャプチャやWEPのデコードで簡単に該当するURLを自動抽出できてしまいそう。サイト側で対策されるまでこういうのは許容するか、VPNとかで自衛するか、使わないかって事かなぁ。
- (2012/02/06追記)実際脆弱だからそうだよね。告知だけでいいかって問題はあるけど「告知せず平文通信している場合は、アプリケーションの脆弱性とみなすことを提案します(公開情報のみを通信している場合を除く)」
- (2012/02/06追記)こんな難しい話じゃなくてもWEPは簡単にデコードできるしPicasaやSNSの非公開の写真はアクセス先URLさえわかれば閲覧できてしまうしね。
- (2012/02/07追記)[Facebook、削除した写真に直リンクでアクセスできる問題を認める - CNET Japan]