無線LAN盗聴に罰則を検討 88
ストーリー by GetSet
法整備で利用者の意識向上を狙う? 部門より
法整備で利用者の意識向上を狙う? 部門より
37A曰く、"朝日新聞によると、総務省が無線LAN盗聴を禁止し、罰則を設ける法案を提出する模様。
現行の法律では、携帯電話やPHSの電波は電気通信事業法によって傍受が禁止されているが、無線LANに関しては、電波法の対象で傍受が禁止されていない。(ただし、電波法でも、傍受した情報を第三者に漏らすことは禁止されている) これに対し、傍受を禁止し罰則を科すようにするもので、電波法の改正法案となるとのこと。
ただ、罰則の対象となるのは暗号化されているものに限り、暗号化されていないものの傍受には罰則を設けないとのこと。これは、暗号化情報の傍受に対して罰則を設けることにより、利用者に暗号化を促すのと、たまたま傍受してしまった場合を罰則の対象にしないためだそうだ。実際に、罰則が科される際には、「たまたま」か「意図的か」が争点になるのですな。
無線LAN内蔵のPCを片手に街中を歩いていると、そこかしこのビルの前で暗号化されていないLANが見つかります。みなさん、無線LAN、暗号化してますか?"
また、ncube2曰く、"ところで最新の日経コミュニケーションによると、皇居一周ウォードライビングってのやったところ、検出できたIEEE802.11bのAP406個の内の168個はWEPがかかってなかったそうで、こんなのは電波法改正後に中身見られてもお咎めなしになる訳で、そろそろ無線LANのベンダーも工場出荷時にはせめてWEP位は有効にしておいてもいいんじゃないかな?"
電波の傍受 (スコア:4, 参考になる)
> 携帯電話やPHSの電波は電気通信事業法によって傍受が禁止されている
という記述です。
電波法第59条では傍受は問題ないと解釈できます。
電気通信事業法で傍受してはいけない電波があるというのは初耳でした。
(検索したけど見つけられませんでした。)
無線LANの場合、コネクションを張るので他人の設備の無断使用になるので
窃盗罪、威力業務妨害などの方が適切に思います。
万人に対して接続できる設定をしておきながら、繋げてきたら処罰されるのは
なんとなく解せません。
法律の探し方 (スコア:2, 参考になる)
法令データ提供システム [e-gov.go.jp]で法律はみつかります。
Re:電波の傍受 (スコア:1, 参考になる)
総務省の説明(5-1) [soumu.go.jp]によると、携帯電話の電波を傍受することは、「その通話が携帯電話会社など電気通信事業者の取扱中に係る通話で」あるため、「原則として」「電気通信事業法第4条に違反」するそうです。(原則と断ってある意図は不明)
電気通信事業法第4条は事業者の社員などが業務上知りえた通信内容を漏らしたり、通信の傍受そのものを行うことを禁ずるだけでなく、通信事業者が免許を受けて設置した無線局を使っての通信は「電気通信事業者の取扱中に係る通話」と解釈されるということでしょうか。
Re:電波の傍受 (スコア:2, 参考になる)
あっても無くても普通は一緒ですが、普通じゃない事態に
備えた逃げ口上です。役人の慣用句というべきでしょう。
電気通信事業法の4条と104条から
・二年以下の懲役又は百万円以下の罰金
ですね。でもこの罰則、他人の手紙を勝手に開ける
(一年以下の懲役又は二十万円以下の罰金)
より重いんです。何か変な気がします。
IPA の対処方法 (スコア:2, 参考になる)
Re:IPA の対処方法 (スコア:0)
これってサイバー犯罪条約関連の法整備では? (スコア:2, 興味深い)
朝日新聞記事で指摘されていないのですが、これは「欧州評議会サイバー犯罪条約 [coe.int]批准にむけた法整備」の一環であるように思われます。
条約本文 [coe.int]の第三条では犯罪化すべきものとしてIllegal interception(違法盗聴)をあげています。さらにこの本文の解説文書であるExplanatory Report [coe.int]をみると、 暗号化しない無線LANは対象に入れる必要はないであろうこと、 tempest傍受も違法化の対象となるであろうこと、 などが読み取れます。
この条約のfinal draftの仮訳は明治大学の夏井教授によるもの [meiji.ac.jp]が有名。 署名された条文の外務省訳もあるはずだけど、URLは失念。 解説文書の日本語訳はインターネット上での公開はまだなかったんじゃないかと...。
なお、私の意見としてはサイバー犯罪条約の批准には反対ですが、 ここで問題の法案そのものについては、ものが出ないとなんともいえないです。
Re:これってサイバー犯罪条約関連の法整備では? (スコア:1, 興味深い)
Re:これってサイバー犯罪条約関連の法整備では? (スコア:1)
http://www4.nikkeibp.co.jp/NCC/news_top10/f_ncc3755.html
Re:これってサイバー犯罪条約関連の法整備では? (スコア:2, 興味深い)
となるとですね、これ「無線LAN」に限定されないはずで、 いろいろと問題があるような気がしてきました。
まずおもいつくのは、脆弱性研究への悪影響です。 無線LANに限っていえば、 自分の無線LAN設備の通信に自分でアタックするのであれば、 違法性は問われないでしょう。 問題は、デジタル放送関連ですね。 今でも CS や BS のデジタル放送があるわけですが、 これから国策で地上波デジタル放送もはじまることになっています。 BS や CS はチャンネルごとの契約や PPV があるので、当然、暗号化されてるわけです。 地上波でも、著作権コントロールの関係で無料チャンネルでも暗号化されるとのこと。 サイバー犯罪条約の文脈では、コンテンツがパブリックでも 伝送がパブリックでなければ、違法傍受という罪が成立することを 求めていて、解説文書ではPay TV を具体例として明示しています。 これらの放送での暗号方式について、 放送側の設備にアクセスできない人が放送電波を受信した上で 脆弱性の探索を行うと、それが即、罰せられるべき行為、ということにされるような気がします。 現状の著作権法での権利コントロール迂回についての罰則にくらべて、 きわめて適用範囲が広いと思われます...。
なお、BSやCSの有料放送のための受信機器のICカードに対して攻撃を仕掛けて情報を得ることは 現状でも契約違反になる(それらは「貸与」されているだけでユーザの所有物ではありません)し、不正アクセスと解釈される可能性もある点、一応お断りしておきます。ここで述べているのは、それら抜きに、純粋に検波して信号処理していろいろ演算して、ということで解読することを意味しています。
アクセス制限 (スコア:1)
この程度で不慮の覗き見は弾けたりできないんでしょうか(128ビットの暗号化、桁数が多すぎてパスフレーズを忘れてしまいそうなので)。
---- あのー( ̄△ ̄;
Re:アクセス制限 (スコア:1)
#ここでいう「不慮の覗き見」とは、たとえば、「社内無線LANの性能が
#あがらないので調査するために無線パケットモニターを動かしていたら
#anohさんのデータが入って来てしまった」・・・とかそういうことを
#指しています。
「不慮の覗き見」を防止したいのなら64ビットでもいいから、WEPを掛けることです。
-- ----- Kensuke Nezu, Samba Users Group Japan
Re:アクセス制限 (スコア:1)
暗号強度的には64bit(40bit)のWEPは殆ど意味を成しませんけど・・・
■無線LAN のセキュリティ設定実態調査(ラック)
http://www.lac.co.jp/security/intelligence/SNSSpiffy/3.pdf [lac.co.jp]
もし、64bit(40bit)のWEPしかかけられない機器を使っているならそんな機器はさっさと捨てるべきです。
Re:アクセス制限 (スコア:0)
アクセスポイントにはじかれるだけでしょ。
空中を飛び交うフレームは傍受し放題。
Re:アクセス制限 (スコア:0)
そういうツール使ってない人は、フィルタされてれば
「不慮に」フレーム傍受することはないだろうけどね。
Re:アクセス制限 (スコア:0)
フレームの元?
うわ~ん、ごめんなさいなのだ~、なのでAC
Re:アクセス制限 (スコア:0)
投げてくる分を捨てるのはともかく、拾おうとするのを防止は出来ないんじゃないでしょうか。
盗聴されないためにはやはり暗号化するしか。
Re:アクセス制限 (スコア:1)
このトピックの元になった話題も「利用者に暗号化を促す」なので、面倒とか言わずにやることにしますか……。
---- あのー( ̄△ ̄;
Re:アクセス制限 (スコア:0)
11aなので利用者少ないし、電波飛ばないし
屋外で使ったら電波法違反だしね。
Re:アクセス制限 (スコア:1)
傍受するだけなら電波法違反になりませんよ。
Re:アクセス制限 (スコア:1)
Re:アクセス制限 (スコア:1)
Re:アクセス制限 (スコア:1)
まだ、a/b/gの3モードAPを買ってきただけで確認していないことを前置きした上で・・・。
現状では、Atherosの3モードカード+Atheros(またはOEM)のWindowsドライバを使った限りでは、チャンネルサーチの状態を見る限りでは、APからの電波が届いたら屋外にいようがいまいが11aで接続してしまうような気がします。
#Atherosのドライバが作られている米国では屋外でも違法じゃないから
#そういう作りになっているものをそのまま持ってきてるみたい・・・。
よく、このまま出荷できるな~と思った次第。
WindowsXPではないですが、「機器が勝手につないでしまった」場合は、多分、違反者が「意図」してつないだものではないので、違法行為は問われないのではないかと思います。
また、「生命の危険などがともなう業務には絶対に使用するな」って最近のコンピュータ系の製品には書かれているのはPL法が適用されないようになのではないかと思いますので、販売・製造者にもPL法は適用できないような気がします。
ちなみに、現状のa/g製品を使用している人は、AES/TKIP対応ファームが出たら、「必ず」アップデートしないといけません。実効速度が5倍になっているということはWEPクラックも1/5の時間でできてしまうというで、手元で11bで64ビットは5時間くらいでとけてしまったので、a/gで64ビットだと1時間(!)で解けてしまうという事になります。
-- ----- Kensuke Nezu, Samba Users Group Japan
互換性 (スコア:1)
暗号化しなくても一般的な機器からは繋がらなかったりします。
しかしいま無線LANの機器を買おうとしたら当然対応の物しかないわけだし、
暗号化無しがデフォルトですから設置数が増えるだけフリーアクセスの
ポイントも増えてしまいますね。(いくらやれと言ってもやらない人は常にいる…)
暗号化が広まるには
・もっと高速で(乗り換えさせる理由)
・暗号化しないと通信できない
規格でも出来ないと。
#あー、デフォルトパスワードが広まってしまったら一緒か…
Re:互換性 (スコア:1)
>・もっと高速で(乗り換えさせる理由)
>・暗号化しないと通信できない
>規格でも出来ないと。
私も当初は規格の問題かと思っていましたが、メーカー出荷時にWEPを設定して出荷してもWi-Fi上は問題ない(Wi-Fiの11bのテストでは初期化状態でWEP offでつながればよい)ので、実は、Aterm WL11APワイヤレスLANセット「ETHERNE タイプ」/「11bカードタイプ」 [121ware.com]のように64ビットWEPが設定された上で出荷されているものもあります。
#要は、メーカー側の姿勢の問題でしょう。
あと、「規格」というよりは、デフォルト暗号化がWi-Fi Certifiedの必須条件になるだけでいいんですが、さすが業界団体という言うべきか、そういう方向では話は進んでいないようです。
-- ----- Kensuke Nezu, Samba Users Group Japan
Re:互換性 (スコア:1)
PCカードタイプはWEPが設定されていません。
ETHERNETタイプについてはPC側のWEPの設定をするのではなく、子機に対してWEPの設定をするという構成になっていますのでWEPをデフォルトでONにしているようです。
日経ネットワークセキュリティ 無線LANパニック [nikkeibp.co.jp]
で読みましたが工場出荷時でWEPが設定されていないのは、
WEPが設定されていると繋がらんという電話がサポートに
殺到するから(だろう)という理由とのことです。
また、高木浩光@茨城県つくば市の7月29日の日記 [hatena.ne.jp]で知ったのですが
総務省に意見書も出ていることですし、ベンダーにはデフォルトで
WEPがONになっていない無線LAN機器を高セキュリティだとパッケージに表記して売らない
など、何らかの姿勢の変更をお願いしたいですね。
メーカー製品に要望したいこと! (スコア:1)
・AP本体の管理者パスワードを設定しないと無線機能がONにならない
・APのWEPを設定しないとAP以外との通信がレイヤ2で許可されない
これくらいはやって欲しいですね。
#WEB設定画面に初めてアクセスすると管理者パスワードを設定
#しないと設定画面に行かないNECの11b AP製品とか、LANがつな
#がっていないと無線機能がONにならない富士通の11b AP製品、
#無線機能のON/OFFができるのに出荷時設定がONの11b AP製品
#とかはあるんですけどねぇ・・・。
-- ----- Kensuke Nezu, Samba Users Group Japan
デフォルトパスワード (スコア:0)
デフォルトパスワードを製品固有のものにするしかないですね。。
ちゅーことは今後は (スコア:1)
NetStumblerはOKでもAirSnortは下手に使うとダメってことかい。
そもそも (スコア:0)
無線LANは便利かもしれないけど、データ(暗号化していたとしても)傍受される危険性は常にはらんでいるわけで...
#私の常識間違ってる?
Re:そもそも (スコア:1)
それはともかく、総務省がどうのというのは脇に置いておいても啓蒙
活動として見ると政府がやる前にメーカーが自主的に「こうしてくださ
い」と動いて欲しいところ。
-----
スケーター12号〜(┌ ┌ ┌ ´Д`)┘
Re:そもそも (スコア:0)
Re:そもそも (スコア:1)
-----
スケーター12号〜(┌ ┌ ┌ ´Д`)┘
Re:そもそも (スコア:0)
つながないというのがそもそもの常…
#ごめんなさい、ごめんなさい
正しいと思います (スコア:0)
もちろん、正しい知識でネットワークの設定も含めて考えれば、それなりに安全なものはできないことはない。しかし、現状のように知識が豊富な人が少なく、製品はあふれるがごとくに市場にある、という状況では、まともな設定が
Re:正しいと思います (スコア:1)
税金うんぬんは無用な一行
無線を使わないというある意味後ろ向きな対応が一番確実なのは分かりきっている事で、セキュリティの話題で声高に言う事でもないんでは?
Re:正しいと思います? (スコア:1)
ってのとどう違うんでしょうか?
なんで最近 (スコア:0)
1.NTT救済策
2.来年度予算獲得の動き
のどちらか、あるいは両方なんでしょうと思いますが、一方、なぜかIPAなど経済産業省系が静かなんですよね。
え~と (スコア:0)
もしかして (スコア:0)
#ラジオライフ愛読者なのでAC
本法律の逮捕者が出た場合 (スコア:0)
企業のネットワークならば管理者の怠慢であり、事実が公になれば企業イメージが低下するのは明らかです。
個人ユーザの場合、不正アクセスを防止する措置を説明しきれないネットワーク機器製造メーカが
PL法に抵触するのではないでしょうか。
設定マニュアルが厚くなり、ただでさえマニュアルを読まないユーザを狙った不正接続が
増える気がします。
Re:本法律の逮捕者が出た場合 (スコア:0)
原則として、検察です。
# 民事じゃないんだからさ
Re:本法律の逮捕者が出た場合 (スコア:0)
捜査当局が必要と判断すれば捜査しますし、その上で立件可能な材料がそろえば検察が起訴するかも知れません。
よほど大きな社会問題にでもならない限り、誰も告発しなけりゃ何も起きません。
もしあなたが被害者であるならば、あなた自身が原告となって提訴してください。
無線LANに限らず (スコア:0)
Re:無線LANに限らず (スコア:1)
#今の機種って、改善されているのでしょうか?
無線LANのハニーポットはOK? (スコア:0)
Re:これで暗号化なし無線POSも安泰ですか? (スコア:1)
でも「たまたま傍受してしまった」というのが許されるなら今後も特に変わりないと思うけどな。
(´д`;)
Re:これで暗号化なし無線POSも安泰ですか? (スコア:2, 興味深い)
なので、カッコ書きの部分を取り除いて読むとアレな無線LANアクセスポイントの存在を公表してはいかんことになりそうですが、カッコ書きがまたやっかいで。
ケータイなどは電気通信事業法第4条第1項で「傍受禁止」という見解なのでしょうが、構内無線LANが第90条第2項を満たしそうです。どうなんでしょう? >詳しい人
Re:罰則はないが違法? (スコア:1)
>暗号化されていない電波を傍受する行為は、罰則はないもの
>の、違法ではあるのでしょうか?
現行法では、暗号化されていようといまいと傍受行為そのものは違法ではありません。この話題の「出てくるであろう法律改正」の話であれば、朝日の記事の文面が「正確なもの」であるとすれば、それは、「具体的な罰則内容については現在、関係省庁と調整中」なんでしょう。具体的なものが出てこないと何ともいえない気がします。
ただし、今の無線LANシステムの現状を考えると、「勝手につながってしまった」のを「違法」とは言えないので(経済産業省と業界団体が黙っちゃいないでしょうから)、「暗号化していない無線LANは対象外=法律違反の範囲外」というところが落としどころなのではないでしょうか?
-- ----- Kensuke Nezu, Samba Users Group Japan
ついでに(スコア:-1, オフトピ) (スコア:1)
彼らには、2000円前後で映画が売っているのに、相変わらず、3000円前後のエセCDを出し続けている事が変じゃないと思っているらしい。
見事に購買意欲を落としてくれます。