パスワードなしの公衆無線LANに規制？総務省が苦悩する問題

itpro.nikkeibp.co.jp

• 2020 年の東京オリンピックに向け、外国人訪日客が利用できる公衆無線 LAN の提供がよりいっそう望まれている
• 現状、電気通信事業者以外が自身のサービスの延長ないし無償で提供している場合、公衆無線 LAN の提供者は総務省認可を受ける必要がない
  • しかしそういう提供者ほどセキュリティ意識が低い
• 本人確認を確実にしつつ利便性を損なわない方法の選択肢が限られる
  • 利便性と本人確認の確実性はトレードオフ
  • 唯一の成功例は SIM カードによるモバイルキャリア事業者提供の公衆無線 LAN だが、サービスを受けられる SIM の種類が限られる
• VPN を使えば安全か?
  • 現実: Android 用 VPN アプリのほとんどがマルウェア
• 現実的な対策は?
  • 公衆無線 LAN を提供している側へのセキュリティ啓蒙
  • 公衆無線 LAN 利用者へのセキュリティ啓蒙

英国 NCC グループ傘下の大手セキュリティ会社 Fox-IT がセキュリティ侵害を公表、見事なインシデントレスポンスを披露する

securityaffairs.co

• 2017 年 9 月 19 日、Fox-IT の所有するドメイン (fox-it.com) を攻撃者が不正にレジストラに登録し DNS エントリを変更される
  • 攻撃者は同社の所有するクライアントポータルサイトの SSL 証明書も不正に取得、中間者攻撃を行う
  • 攻撃者によりクライアントポータルへアクセスしてきた 9 人分のログイン情報と 12 個のファイルが窃取される
• DNS エントリの変更から中間者攻撃の発覚と同社による対策実施までの時間がたったの 5 時間
  • 漏えいした可能性のある 9 つのアカウントのパスワードはただちにリセットされる
  • 二要素認証を一時的に無効化することにより故意にログインを成功させないよう処理
• 中間者攻撃が可能だった時間帯は最大でも 10 分間
• ただちに顧客と法執行機関へ通知