Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ホテルWifiの信頼性

出張でとある大都市の駅近くのホテルに泊まりました。チェックインして部屋でまず確認する事といえば、Wi-Fiの設定である事が多いのですが、こんな感じで部屋の中のパスワードを発見しました。(ここまでは普通)

f:id:foxcafelate:20190209154053j:plain

テレビを点けると、テレビ画面側にもWifiのパス表示がされてました。(ここまで違和感なし)

f:id:foxcafelate:20190209154851j:plain

 

◆キタきつねの所感

前提条件としてはお分かりいただけたでしょうか?泊まったホテルは某鉄道系ホテルチェーンで、全国で25店舗展開しています。出来て1年未満のホテルだった様で、ベットも寝心地良く、綺麗な部屋で、1泊を過ごすには快適でした。朝食の質は少し・・アレでしたが、無料朝食でしたし、値段と立地条件を考えればそんなに高くもなく、泊まった方の多くは良い印象を持つ施設でないかと思います。

が、、、私はこれを見てしまったので、このホテル(ホテルチェーン)に対する(私の)評価は地に落ちました

f:id:foxcafelate:20190209155428j:plain

 

エレベータの中に貼ってあったこの表記。出来て1年以内のホテル・・・において、Wifiの暗号鍵について、堂々と「問題ない」と言い切っているかの様なこのホテル。地方都市のホテルや旅館で暗号化されてないWifiや、WEP方式もまだ見かける事はありますが、名が知れた企業グループ(日本を代表する様な鉄道会社系ホテル・・・)で、未だにWEPを使っているというのは、このホテルのIT部門は素人集団なのでしょうか

もしそうでないとすると、WPA2等にすると接続できないケースが増えるので、とりあえず鍵かけとけば良いという可用性重視のお考えなのかも知れませんが、WEPを使う位なら暗号化せずにいてくれた方がましな気がします。その方が、気をつけてWifiを使う方が多いのではないでしょうか?

 

WEPの脆弱性が問題となり、WPAが出てたのが2002年、WPA2が2004年です。最近ではWPA2でも脆弱性が出ている事を考えると、観光客が2020年にかけて増えている現状を考えと、WEPの脆弱性を突いたホテルでの(様々な)攻撃が成功してしまう可能性は結構あるのではないでしょうか。

 

このホテルの場合、エレベータまで入れればWifiパスワードを解読するまでも無く、エレベータ内に貼っている情報を読むだけでホテルロビーや近くでWifiただ乗りが出来そうですが、既に10年以上前からWEP等々のパスワードを解析するツールは出回っています。

gigazine.net

 

検証してませんが、このホテルチェーン。(パスワードの)下側にある番号がホテル店舗毎に違うだけ・・・な気がします(※ホテル単位の共通パスワードになっているという仮説)。

高級ホテルチェーンでは部屋毎のWifi認証などをさせていますが、流石にそこまでの認証を作るのは面倒なのはわかります。とは言えWEPを使っている通信を盗み見する程度の攻撃であれば、私でも出来そうです。また、この設計思想のセキュリティで大丈夫と考えているホテル(IT部門)であるならば、ハッカーは、もう少し重要なシステムに攻撃を仕掛ける事を考える気がします。

 

ホテルのWifiは危ない。改めてそう感じました。

 

 

結論:WEP使ってます・・・・ってホテルのエレベータに書く必要あったんですかね?室内のWifi表示には暗号方式は一切書かれてなかったので、エレベータ内の貼紙を見なければ、私も気づかなかったと思います。

 



更新履歴

  • 2019年2月9日PM(予約投稿)