Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

地方自治体のアンテナ感度

西日本新聞が公衆無線LANに関する調査記事を出していました。とても気になったのが・・この調査データの表です

www.nishinippon.co.jp

 

◆キタきつねの所感

公衆無線LANが暗号かされてないのは、それはそれで問題ではあります。

個人情報が漏洩されるかも知れないという利用者の意識が強くない場合は、下記のリスク懸念ですね。

自治体が通信内容を暗号化しておらず、クレジットカード情報やメールを他人に盗み見される恐れがあることが、総務省や各県市への取材で分かった。

西日本新聞記事より引用)

また、アクセス者(利用者)を確認してないのも、これもこれで問題があると思います。

 不正アクセスを防ぐため、会員制交流サイト(SNS)のアカウントやメールアドレスを登録してもらって利用者を認証する方式もあるが、全国173、九州31自治体が利用者の確認をしていなかった。

西日本新聞記事より引用)

海外の空港などで良くアドレス聞かれますが、フリーで使えてしまうのは、犯罪に使われるリスクが怖いなという印象もあります。おそらく・・・残念ながら・・・適切な期間ログを自治体は残して・・・ないと思うので、何か犯罪があった際にはログを追跡できず、「初歩的な事が分かってなくてごめんなさい」をする自治体幹部の方の姿が思い浮かびます。

 

とは言え、この課題も今回は置いておきます。私が今回の記事を見て問題だと思ったのは・・・

(表は記事より引用)

f:id:foxcafelate:20180811110436j:plain

機器のパッチを当てておらず、機器が初期パスワードである自治体が、公衆無線LAN提供を行っている自治体(約570)の内、2割以上を占めるのは心配です。

 

無線でネットワークに接続するためのアクセスポイント(AP)など、公衆無線LAN機器のIDやパスワードを初期設定のまま利用しているのは全国114、九州10自治体に上った。

 APが乗っ取られ、迷惑メールの送信や掲示板への書き込みに悪用される恐れもある。安全対策プログラムなど機器の基本ソフトを随時更新して最新版に保つことも重要だが、全国179、九州22自治体が一度も更新していなかった

西日本新聞記事より引用)

 

このデータを攻撃者側が見れば、まず単純に「アクセスポイント」自体を攻撃しようと考えるのではないでしょうか。

アクセスポイントの機器のプログラム更新がされていなければ、その脆弱性をついた攻撃も考えられますが、一番危なそうなのが機器の初期設定です。機器ベンダーのマニュアルを調べて初期設定を確認し、アクセスポイントを乗っ取って、通信を傍受したり、別な所にデータを転送してしまった後に、ログを消して、管理者パスワードを変えてしまう。夏休み中の学生でも実現できそうな攻撃シナリオです。

 

調査データを元にすると、もっと違った攻撃シナリオも考えられます。

例えば、公衆無線LANが暗号化されている通信もアクセスポイントが初期設定のIDとパスワードで攻撃できてしまう可能性です。利用者側は・・・いくら注意しても自治体が提供する公衆無線LANが暗号化されていた場合・・・信じてしまうのではないでしょうか。結果としてクレジットカードデータや個人情報が漏洩した場合、自治体に責任が無いとは言い切れないかも知れません。

 

ここで更に恐ろしい事も考えられてしまいます。

無線LANの(常識的な)セキュリティ設定が出来ない自治体が、20%存在していたというデータから導き出せる推論は、

 

自治体が役所(公共施設)の中で使っている業務用の無線LANがある場合は・・・セキュリティレベルは同じではないか

 

そちらは、セキュリティベンダーがちゃんと設定しているはず?)とは思いますので初期設定という事はないっだろうと思うのですが、ソフトウェアは脆弱性が出ても更新してない・・・この辺りは微妙かも知れません。見に覚えのある関係者の方々は、少し調べてみる事をお勧めします。

 

ここまで書いてきましたが、2020年に向けての公衆無線LANというテーマは、過去記事を見てみると3本書いていました。今回の調査データも、2017年10月~11月現在という事ですので、既にこのセキュリティ脆弱点は、修正済である、と信じたいと思います。

 

 

 

総務省でも、「公衆無線LANセキュリティ分科会」を中心に課題整理・検討が進んでいるようで、

 

総務省|サイバーセキュリティタスクフォース|サイバーセキュリティタスクフォース

 

今年3月には報告書も出されています。時期的にこの分科会の活動を受けての自治体調査(初期)が記事の元データであったと思います。(※今回の記事は、その地区別内訳についての取材だったのだと推測します)

www.soumu.go.jp

 

課題・懸念点、対策案などもまとめられていますので、各自治体は、感度良く対応いただき、よりよい公衆無線LANサービスを提供してくれている事を期待したいですね。

 

 

 

参考

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

携帯の電波のマーク 0本

 

更新履歴

  • 2018年8月11日AM(予約投稿)