Re: WPA2脆弱性 - 若竹亭おにぎり

2017/10/18 (Wed) 02:45:47

多くの人は「何それ？」って感じで全く危機感を抱いていないでしょうね。

Re: WPA2脆弱性 - monthwich

2017/10/19 (Thu) 21:00:42

横から失礼します。我が家で使用中のBUFFALOルーターのセキュリティ種類がWPA2-パーソナルなのですがこれは大丈夫なんでしょうか；？

Re: Re: WPA2脆弱性 - EXS

2017/10/20 (Fri) 12:09:18

この脆弱性はクライアント側の影響が大きいようで、親機たるルータはそこまでではないようです。バッファローは脆弱性の通知ページを立ち上げていますので、そちらをご覧ください。影響のないモデルが列挙されています。

buffalo.jp/support_s/t20171017.html

なお、本脆弱性への対応として一時的にWEPを使うのは悪手とのことです。そのままWPA2のまま運用し、無線LAN機器のファームウェアアップデートを適用するのが良い、と。

Re: WPA2脆弱性 - monthwich

2017/10/20 (Fri) 18:16:55

ありがとうございます。確認してみたところ残念ながら我が家で使用中の製品は対象外ではありませんでした；。アップデートはまだ来てはいない状態なので警戒します。

Re: WPA2脆弱性 - 管理人です

2017/10/22 (Sun) 13:28:21

EXSさん、貴重な情報ありがとうございます。

monthwichさんへ
（本件事案は今日明日に危険が具体的に発生するという状況にはないので慌てないように。しかし脆弱性が発見された以上攻撃者は必ず大規模な攻撃を(
こっちが忘れた頃に？）仕掛けてくるはずで、そのためにもバッファローなどがパッチを配布開始したら速やかに適用しておいてください）。

本件ですがパッチ適用が必須の状況でありメーカーからの情報発信待ちですが、対策前であっても「https」経由の通信であれば復号化不可能とのこと。よって重要な通信を「http」経由で行わないなど対策すれば、第三者攻撃にて通信傍受される可能性は無いはずです。

それとRouterは「新しい製品」を使うことも重要で、購入してから日時の経過した「旧い」Routerを使い続ける行為は、危険が高まります。だからRouterに関しては可能であれば、新しいモノを使うというのも安全性確保の面から言えば大切なことなんですね。「勿体無い精神」は美徳ですがでも、Routerに関してはそれは当てはまらないと管理人は考えています。

ただmonthwichさんは、近い将来、PCなどを使わないと宣言していたはずなので投資して新しいRouterを購入するのは不経済かもしれませんね。バッファローのサポートに電話してファームウェアupdateがいつ頃になるのか訊くのが手っ取り早いと思いますよ。



＊
脱線しますが災害時の通信手段確保に関して
http://smaho-dictionary.net/2016/04/mvno-hazard/

Re: WPA2脆弱性 - 管理人です

2017/10/22 (Sun) 13:40:17

https://internet.watch.impress.co.jp/docs/news/1086853.html

＊
脱線するが興味深い話がある
↓
【VPNは解決法ではない】 http://jp.techcrunch.com/2017/10/17/20171016heres-what-you-can-do-to-protect-yourself-from-the-krack-wifi-vulnerability/ 、、、、という主張があり、傾聴するべきだと思う（日本のセキュリティvendorがVPN通信なら安全だと声高に主張していることへの管理人の疑問でもある）。

（引用）

VPNは解決法ではない

理論上はVPNサーバーを利用するのは有効に思える。しかしわれわれはこの点についてはすでに調査ずみだ。VPNサービスについては最大限の注意を払う必要がある。無条件に信頼できるサービスではない。

VPNサービスを利用した場合、ユーザーのすべてのインターネット・トラフィックはどこかのデータセンターにあるVPNサーバーに向かう。 この場合KRACK攻撃者はトラフィックの内容を見ることはできない。しかしVPNサービスはトラフィックをログに取っている可能性があり、このログにアクセスできるものはこれをユーザーの不利益になるように利用できる。

たとえば、先週のThe Registerが報じたFBI捜査官の宣誓証言の文書によれば、PureVPNは容疑者を逮捕するために重要な情報を当局に引き渡したという。しかしPureVPNのウェブサイトには「われわれは一切ログを記録しない」と書かれていた。VPN企業を信頼するのは考えものだ。自分で独自のVPNサーバーを開発するのであれば別だが、VPNサービスは解決法ではない。

Re: WPA2脆弱性 - 管理人です

2017/10/22 (Sun) 13:49:26

http://ascii.jp/elem/000/001/570/1570318/

（引用）

なお、無線LANのパスワードを盗み取る攻撃ではありませんので、無線LANのパスワード変更は不要です。

Re: WPA2脆弱性 - 管理人です

2017/10/22 (Sun) 14:07:33

EXSさんが重要な指摘をされてます

↓

【WEPは使わないこと】

（脆弱性が発見されても、このままWPA2を使うこと）


------------------------
それから「テザリング（スマホ）」されているuserさんは、それぞれのProviderなどに相談してください。

Re: WPA2脆弱性 - monthwich

2017/10/23 (Mon) 20:19:11

情報ありがとうございます。一応BUFFALOサイトに電話で問い合わせをしましたら、我が家で使用しているルーターは「中継機能を「AOUT」モードで使用していれば今回の脆弱性の影響はなく今のままでお使いいただけます。」とのことで現状維持です。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　しかし今までネットショップ利用はほとんど「http」経由だったので今回の件は冷や汗ものでした…；　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　よく利用するサイトへの通信を「https」経由にするにはお気に入り登録しているサイトのURLを「https」に変換するなどの方法でいいでしょうか？　　　　　　　　　　　　　　　　　　　　　　　　　　

Re: WPA2脆弱性 - 管理人です

2017/10/23 (Mon) 23:07:02

monthwichさん


通販側が「SSL通信」を構築していないと、こっちの努力だけでどうこうなるもんでもないんですよ。さらに

https://internet.watch.impress.co.jp/docs/column/jirei/387407.html 落とし穴が沢山あります。

Re: WPA2脆弱性 - monthwich

2017/10/24 (Tue) 00:25:17

「SSL通信」について勉強不足でした；以後気をつけます。　　　　　　　　　　　　　　　　

Re: WPA2脆弱性 - 管理人です

2017/10/24 (Tue) 09:38:24

以後気をつけます

↑

monthwichさん、なにも謝らなくても（苦笑）。誰も説教しておりませんから、気にされませんように。通販の詐欺サイト（犯人は中国人らですが）を眺めると「楽天」を猿真似して日本人顧客を詐欺して注文させてますけど、買い物をさせて「カートに入れる」の段階になっても、似非通販サイトの場合は「いつまで経っても」＝httpのまんまなんですよ（苦笑）。それ一つみても、詐欺サイトだと区別ができますよね。少なくとも正常な日本の通販サイトであればhttpのままお買い物をさせる業者はおりません（正常な商人の場合ですが）。

ネット通販の場合、通販サイトの「会社概要」を読めば、代表者だとか本社所在地などの記載があります。もっともらしく「日本人名」で代表者が記載されているし、本社代表電話番号も記載されています。日本人名をGoogleで検索したり、本社住所を検索すれば詐欺か否かも分かります。電話番号を検索すると、詐欺であるか分かり易いですよね。

そしてhttpsで通信が保護されておらず、カートに入れる段階となっても「httpのまんま」であれば通販詐欺確定です。

困ったもんですよねえ、しかし。

安心してネット通販にてお買い物したいものです。

管理人は今、エレキギターの修理で忙しく、パーツを海外から取り寄せるんですが、一番簡単な方法は米国Amazon上でパーツを見つけて発注し、取り寄せる方法が詐欺の心配が低くて安心なんです。けど、製造中止になっている型番のエレキギターの場合、そのパーツを見つけるのは至難の業でしてね。米国Amazon上でも発見できないことが多々あります。こうなると無数のweb siteからパーツを見つけ出さねばならなくなるのですが、詐欺サイトなのか正常なサイトなのか判別できない場合も多々あります。国産エレキギターのパーツはミリですが、USAパーツの場合は「インチ」単位なので、これも厄介な部分。

難しいもんです。

Re: WPA2脆弱性 - monthwich

2017/10/24 (Tue) 18:59:45

httpsで通信が保護されておらず、カートに入れる段階となっても「httpのまんま」であれば通販詐欺←注視しておくべき点ですね。公式の楽天でも偽サイトへの警鐘がされてます。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　幸い私が普段行くアマゾンや楽天の利用時には上記の現象はありませんが注意しておきます。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

Re: WPA2脆弱性 - 管理人です

2017/10/30 (Mon) 03:20:00

monthwichさんへ


【Amazon】でのお買い物ですがマーケットプレイス上での取引には、注意が必要なようですよ。一時期、詐欺師が横行しましたね（その後、どうなったのやら？）。ありきたりですがマーケットプレイスで買い物する場合、口コミと評価を必ず見ておくべきかなと思いました。トラブルを発生させている業者は、態度を反省するということがなくて「その後」も頻繁にトラブルを起こしている場合が多い傾向があるからです。先ずは顧客達が、その出品者にどのような評価を下したかを見るべきですね。管理人も必ず確認していますよ。また、どの程度の期間、Amazonのマーケットプレイス上で商売を継続しているか？も確認しています。昨日今日、出品したような出品者からは、安価であっても購入しません。管理人の場合はギター修理のパーツを探しますけど、Amazon経由で買う場合は、一般web上でも公式home pageなどを持っていて商売を継続されているような楽器店、それなりの知名度を持っている楽器店などから購入することにしていますけどもねえ。

なんといいますかね、、、、Amazon上で買い物した顧客と、トラブルを発生させている出品者との会話を観察していると、その出品者の「人格」が見えるんですよ。暴言に近い表現で客に言い返している出品者も少数ですが居ます。そんな業者から購入しては絶対に駄目だなあと思います。

勿論、顧客側のイチャモンとしか思えない難癖評価ってのもありますけど、でも、トラブル量産する出品者ってのは、あっちこっちの顧客と言い合いになっていますから。分かるもんですよ。そういえば管理人はギターの糸巻（ペグ）を探していてAmazon上のマーケットプレイス出品者にまずメール質問するんですが、返信してこない業者が沢山居て、驚いています。なぜメールしているかというと、業者側が「嘘」説明をしているからなんです。「XXを購入してギターの糸巻交換をすれば、シャフト径が太すぎて、交換できないと思うんだけど、店に在庫してある現物を実際に手にとって寸法を確認していますか？」と管理人から質問するんですよ。だけど、返信してきませんもんね。そんな店からは、絶対に買いません。商品知識の乏しい「自称楽器店」が、ギターのペグ販売なんか、しちゃ駄目だよ。GOTOHの糸巻なんぞ、スペックが複雑で正確に購入するのは難しいんだから、買う前に客が疑問に思って質問した場合は、まじめに返答するべきだしさ。

って、こんな楽器の糸巻の話をmonthwichさんに延々とすること自体が、駄目だよね（苦笑）。


すいません。

＾＾）

Re: WPA2脆弱性 - 管理人です

2017/10/30 (Mon) 03:22:04

さて、続報

http://www.elecom.co.jp/support/news/20171018/

Re: WPA2脆弱性 - 管理人です

2017/10/30 (Mon) 03:24:22

バッファロー来たぁー

http://buffalo.jp/support_s/s20171017.html

Re: WPA2脆弱性 - monthwich

2017/11/01 (Wed) 00:41:41

やっとアプデ来るようで、アップデートツールからはまだ何も応答無しですが気長に待ちます。

Re: Re: WPA2脆弱性 - EXS

2017/11/01 (Wed) 09:56:32

今回は業務用機器が影響規模大きそうですね。
そもそも一般家庭で中継機能なんてあんまり使わないし...

幸い私はネットワーク屋ではないのであんまり関係ないですけど、それでもOS側で対応しないといけなかったり。

Re: WPA2脆弱性 - 管理人です

2017/11/06 (Mon) 07:17:25

EXSさん

＊Androidは怖いですね、今更ですが。

＊WPA2であれば安全だと言われていたわけですがそれは神話に過ぎなかったと分かったことが収穫だなと思っています。そしてこの手の攻撃が判明した場合、vendorの企業体質だとか力量が、セキュリティパッチ配布の速度の違いとなって表面化するので、「Routerなんてどこの製品を使っても同じだ」なんて、絶対に言ってはいけないということや、Router一つとっても、できれば「新しい」セキュリティが強化されている製品を使うべきだ、という今更ですが教訓ですよね。

ただWannaCry事件の時に当初「XPは危険だ」と指摘されていたものの、その後の調査では「WannaCryはXPも対象に攻撃したがブルースクリーンエラーの連発で感染不可能だった」とオチが付いちゃいましたが（苦笑）。マイクロソフト曰く「Windows10は陥落しなかった」と豪語するも、そもそもOS世界的シェアでWindows7がダントツの首位なんですからWindows7の感染率が一番高かったのは「当たり前」のことなんですよね。