ITmediaから。WEP解読ができるようになったそうです。
ITmedia: WEPは一瞬で解読――ニンテンドーDSはどうなる
いろいろ突然で何にコメントしていいやらなのですが、(わたし的に数分Google/Wiki的な調査した結果)この話の前提はとりあえず
・WEPというのは無線LANで暗号化に広く使われてる技術
・今時点で見ると暗号化技術としては「多少甘くても軽く」の方向のもの
・時間と充分なパケット数さえあれば、普通の人でも解読可能と言われていた
・ただ、「充分なパケット」というのがARPパケット(デバイスをネットに接続開始とかつなぎなおしとかした時にちょこっと流れるタイプのデータ…でしたっけ?)を4万とかで実は結構大変
・ニンテンドーDSがWi-Fi、無線LANと呼んでる機能で使ってるのはWEP
・同様の「多少甘くないけど重め」の方向の技術としてWPAとかもある
・WPAに、ニンテンドーDSは対応してない
・WPAに、ニンテンドーDSiは対応済み
というあたり。
で、今回のニュースは、
・WEPをさらにカンタンに解析(端的には他人のデータを盗み見ること)ができる方法が見つかった
・これはわりと由緒ただしげな場所(コンピュータセキュリティシンポジウム 2008)で発表された、とITmediaが報道している
・ARPパケットじゃなく「一般のIPパケット」でいいので解析に必要なデータ収集がとても現実的になった。画期的。
・DSのデータなら取り放題。DSに合わせてWEPだけしか使ってない家庭LANのデータなら、盗り放題
・対応ツールが発表されたら、自称ハッカーなツール使いでも取り放題
・対応ツールは完成してて、でも、今公表すると困る人がいるので待っている
・この「困ったものを見つけちゃった」ときは「待つ」という対応はセキュリティ方面では常套手段。というかそうしないと困る人が多い
・「待つ」期間はまちまち。見つけた人とか、見つけた人がそっち方面にくわしい人に「正当」と判断されると思う期間。応相談
ということのようです。
多分にわたしの見解とか知識のなさが反映されてると思うので、内容に不審な点があったら自力で調べてください…。
…で、対応なのですが、とりあえず「DSユーザーとして」は「あんまり関係ない」んじゃないかなぁ、とか思います。「関係ない」で問題があるなら「深刻でない」。
いまあるDSのゲームのデータで盗まれてはずかしいもの(どうぶつの森の家に虫が沸いてるとか)はあっても、とても困るものとか、とても困る用途に使おうという人で、このツールを入手して使いこなせる人がどれくらいいるかというとそんなにいないんじゃないかなとか思います。
現時点では、他人のゲームデータが欲しい人がパケットから解析してゲームのデータを再生成するとかは考えにくいです。そこまで技術とコストというかヒマがある人だったら、自分で作っちゃう気もします。オンラインゲームで、認証部分が甘くてしかもRMTが絡むようなものとかすごく安定長期稼動してデータ自体にすごい価値が出てくるようなものが出てくると、ちょっと気にする必要があるのかも。あります?
DSブラウザでオンライントレード!とかいう奇特な人には、ある意味とんでもない問題がある気もするのですが、そういうサイトであれば、Webのサービス側で何かやってるような気もします。
守れるとこは守った方がいいのは間違いないですが。
記事中、任天堂さんのコメントとして「
「ただ乗り」一般の話題としては……うーん。深刻な気はするのですが、対応できる人だったら、APなりルータなりでどうにかできる(DSを隔離してほかを守る。DSのパケットとただ乗りはそういうものと納得する)と思うし、そういう人は多くなくて、DS諦めるべきかも知れないのですが、猶予期間が3ヶ月としても対応できるケースの方が多くなさげだったり、そういうケースでは、「DSi買って来てもAPでWEP禁止するように再設定することは、技術的コスト的にありえない」気もします。「マナーの向上を期待する」という答えはやっぱり正しいような気もします。
「WEPにしてるPSPユーザーとして」は、最近のシステムアップデートがとんでもないことになってるので(端的には2008/10/15以降、設定次第で「現金にアクセスできる」ようになりました)、ちょっと考えた方がいいのかも知れません。「現金」の話はDNASとかいう認証システムの上に乗ってるみたいなのですが、DNASが何をやってるかについては数分の調査ではわかりませんでした。つよい暗号化をやってるならそこに任せるとかいうのもあるのかも知れません。守れるとこは守った方がいいのは間違いないですが。
「PCとかをWEP使って繋いでる人」は、速攻で対応した方がよさそうです。
最近だとiPhoneとかそっち系のものを家庭LANにいい加減につなげてる人が多そうな気もします。
DS絡みでWEPにしてるケースもあるかと思います。そういう設定したとこ一件知ってますし……ああ、調べものが増えるぅ。
ITmedia: WEPは一瞬で解読――ニンテンドーDSはどうなる
ITmedia: 「WEPを一瞬で解読する方法」を研究者グループ発表 プログラムも公開予定
追記(2008/10/23):
CnetNews:「一瞬で無線LANのWEPを解読する方法」発見に総務省が注意を喚起
総務省:国民のための情報セキュリティサイト:安全な無線LANの利用
「総務省だから信用できる」とか言うつもりは毛頭ないのですが、「総務省が言ってるから」というのはセールストーク的に意味がありそうです。
ただ、「WEPやめればおっけー」、「DSiしないとダメ」とかいう話じゃなく、もう何歩か踏み込んだというか、家庭用LANでここまでやる人はいないかもとかいう気もします。端的には、WPA2-PSKとかSSIDはともかく、運用上「21文字以上のパスワード」と「MACアドレスでフィルタ」の部分が厳しそうです。
追記(2008/11/11):
ITmedia: 無線LANセキュリティ規格「WPA」突破――その対策は?
WPAも突破だそうです。……が、記事を斜め読みする限り「TKIPまででAESは平気」とか、「Spoofできるけど直接Tapできない」とからしいので、「ツールダウンロードしてきたら一発でデータ抜き」という話ではなく、いろいろ限定条件付きなようです。細かいことはわたしが理解できてないので保留。短絡的には、PSP/PS3環境的にはWEPとWPA2-TKIP禁止してWPA2-AESすれば(2008/11/21訂正:PSPはWPA2は非対応でした。「WEPとWPA-TKIP禁止してWPA-AESする」が正解です。多分。)この件はクリアなようです。
追記2009/01/05:
DSi購入して確認したのですが「DSiはWPA対応」だけど「DSiで遊べるDS用ゲームはWPA非対応であるケースがある」ようです。あんまり簡単な話じゃないみたいです。
参考:ニンテンドーDSi購入。
追記2009/03/09:
エントリにする元気がないのでここに追記だけ。/.Jで「イマドキの若い人」関係の話題が取り上げられてました。
SlashdotJ: 携帯ゲーム機にて、無線LANのアクセスポイントに「ただ乗り」する子供達
野良APとかユーザーとか、大体想像してたような実態のようです。
いまの仕様だと、クラックして他人のPSPのウォレットやDSiショップで買い物するのは、嫌がらせにはなっても自分が得しないかも知れません。少なくとも現状では。
Diska
ITmedia: WEPは一瞬で解読――ニンテンドーDSはどうなる
いろいろ突然で何にコメントしていいやらなのですが、(わたし的に数分Google/Wiki的な調査した結果)この話の前提はとりあえず
・WEPというのは無線LANで暗号化に広く使われてる技術
・今時点で見ると暗号化技術としては「多少甘くても軽く」の方向のもの
・時間と充分なパケット数さえあれば、普通の人でも解読可能と言われていた
・ただ、「充分なパケット」というのがARPパケット(デバイスをネットに接続開始とかつなぎなおしとかした時にちょこっと流れるタイプのデータ…でしたっけ?)を4万とかで実は結構大変
・ニンテンドーDSがWi-Fi、無線LANと呼んでる機能で使ってるのはWEP
・同様の「多少甘くないけど重め」の方向の技術としてWPAとかもある
・WPAに、ニンテンドーDSは対応してない
・WPAに、ニンテンドーDSiは対応済み
というあたり。
で、今回のニュースは、
・WEPをさらにカンタンに解析(端的には他人のデータを盗み見ること)ができる方法が見つかった
・これはわりと由緒ただしげな場所(コンピュータセキュリティシンポジウム 2008)で発表された、とITmediaが報道している
・ARPパケットじゃなく「一般のIPパケット」でいいので解析に必要なデータ収集がとても現実的になった。画期的。
・DSのデータなら取り放題。DSに合わせてWEPだけしか使ってない家庭LANのデータなら、盗り放題
・対応ツールが発表されたら、自称ハッカーなツール使いでも取り放題
・対応ツールは完成してて、でも、今公表すると困る人がいるので待っている
・この「困ったものを見つけちゃった」ときは「待つ」という対応はセキュリティ方面では常套手段。というかそうしないと困る人が多い
・「待つ」期間はまちまち。見つけた人とか、見つけた人がそっち方面にくわしい人に「正当」と判断されると思う期間。応相談
ということのようです。
多分にわたしの見解とか知識のなさが反映されてると思うので、内容に不審な点があったら自力で調べてください…。
…で、対応なのですが、とりあえず「DSユーザーとして」は「あんまり関係ない」んじゃないかなぁ、とか思います。「関係ない」で問題があるなら「深刻でない」。
いまあるDSのゲームのデータで盗まれてはずかしいもの(どうぶつの森の家に虫が沸いてるとか)はあっても、とても困るものとか、とても困る用途に使おうという人で、このツールを入手して使いこなせる人がどれくらいいるかというとそんなにいないんじゃないかなとか思います。
現時点では、他人のゲームデータが欲しい人がパケットから解析してゲームのデータを再生成するとかは考えにくいです。そこまで技術とコストというかヒマがある人だったら、自分で作っちゃう気もします。オンラインゲームで、認証部分が甘くてしかもRMTが絡むようなものとかすごく安定長期稼動してデータ自体にすごい価値が出てくるようなものが出てくると、ちょっと気にする必要があるのかも。あります?
DSブラウザでオンライントレード!とかいう奇特な人には、ある意味とんでもない問題がある気もするのですが、そういうサイトであれば、Webのサービス側で何かやってるような気もします。
守れるとこは守った方がいいのは間違いないですが。
記事中、任天堂さんのコメントとして「
ただ乗りはマナー違反。家の鍵が壊れていたからといって、侵入していいというものではない。マナーの向上を期待する」とあるのですが、こと「DSでゲームな人」限定の話題としては、これこそが正しいんじゃないかなぁ、と思います。まだ牧歌的な世界があるように思ってます。
「ただ乗り」一般の話題としては……うーん。深刻な気はするのですが、対応できる人だったら、APなりルータなりでどうにかできる(DSを隔離してほかを守る。DSのパケットとただ乗りはそういうものと納得する)と思うし、そういう人は多くなくて、DS諦めるべきかも知れないのですが、猶予期間が3ヶ月としても対応できるケースの方が多くなさげだったり、そういうケースでは、「DSi買って来てもAPでWEP禁止するように再設定することは、技術的コスト的にありえない」気もします。「マナーの向上を期待する」という答えはやっぱり正しいような気もします。
「WEPにしてるPSPユーザーとして」は、最近のシステムアップデートがとんでもないことになってるので(端的には2008/10/15以降、設定次第で「現金にアクセスできる」ようになりました)、ちょっと考えた方がいいのかも知れません。「現金」の話はDNASとかいう認証システムの上に乗ってるみたいなのですが、DNASが何をやってるかについては数分の調査ではわかりませんでした。つよい暗号化をやってるならそこに任せるとかいうのもあるのかも知れません。守れるとこは守った方がいいのは間違いないですが。
「PCとかをWEP使って繋いでる人」は、速攻で対応した方がよさそうです。
最近だとiPhoneとかそっち系のものを家庭LANにいい加減につなげてる人が多そうな気もします。
DS絡みでWEPにしてるケースもあるかと思います。そういう設定したとこ一件知ってますし……ああ、調べものが増えるぅ。
ITmedia: WEPは一瞬で解読――ニンテンドーDSはどうなる
ITmedia: 「WEPを一瞬で解読する方法」を研究者グループ発表 プログラムも公開予定
追記(2008/10/23):
CnetNews:「一瞬で無線LANのWEPを解読する方法」発見に総務省が注意を喚起
総務省:国民のための情報セキュリティサイト:安全な無線LANの利用
「総務省だから信用できる」とか言うつもりは毛頭ないのですが、「総務省が言ってるから」というのはセールストーク的に意味がありそうです。
ただ、「WEPやめればおっけー」、「DSiしないとダメ」とかいう話じゃなく、もう何歩か踏み込んだというか、家庭用LANでここまでやる人はいないかもとかいう気もします。端的には、WPA2-PSKとかSSIDはともかく、運用上「21文字以上のパスワード」と「MACアドレスでフィルタ」の部分が厳しそうです。
追記(2008/11/11):
ITmedia: 無線LANセキュリティ規格「WPA」突破――その対策は?
WPAも突破だそうです。……が、記事を斜め読みする限り「TKIPまででAESは平気」とか、「Spoofできるけど直接Tapできない」とからしいので、「ツールダウンロードしてきたら一発でデータ抜き」という話ではなく、いろいろ限定条件付きなようです。細かいことはわたしが理解できてないので保留。短絡的には、PSP/PS3環境的にはWEPと
追記2009/01/05:
DSi購入して確認したのですが「DSiはWPA対応」だけど「DSiで遊べるDS用ゲームはWPA非対応であるケースがある」ようです。あんまり簡単な話じゃないみたいです。
参考:ニンテンドーDSi購入。
追記2009/03/09:
エントリにする元気がないのでここに追記だけ。/.Jで「イマドキの若い人」関係の話題が取り上げられてました。
SlashdotJ: 携帯ゲーム機にて、無線LANのアクセスポイントに「ただ乗り」する子供達
野良APとかユーザーとか、大体想像してたような実態のようです。
いまの仕様だと、クラックして他人のPSPのウォレットやDSiショップで買い物するのは、嫌がらせにはなっても自分が得しないかも知れません。少なくとも現状では。
Diska
※コメント投稿者のブログIDはブログ作成者のみに通知されます