北陸無線データ通信協議会 簡易Webサイト

文責：代表　小西　寛

更新日 平成20年3月3日

 

北陸無線データ通信協議会は、平成15年5月に発足した石川県金沢市を拠点に無線ＬＡＮを中心に無線データ通信に関して調査・啓蒙活動を行う非営利団体です。

 

予定していました第３次プレスリリースを公表しました。個人情報や企業・団体の業務情報を無線LANに通して使う事は法的に禁止するべき段階に入っていると判断します。内閣官房情報セキュリティセンターは２月初めその報告書の中で暗号解読が警報レベルにまで簡単であるWEP利用を認める文章を当方の変更の意見を無視し決定しました。これにより、無線LANセキュリティ問題は、国家レベルで間違いを押し通し、「解読な困難な暗号及び認証技術」という地方公共団体の情報セキュリティポリシーを事実上骨抜きにしました。情報漏えいを引き起こす無線LANの存在や暗号解読の問題等の混乱を指摘し問題提起の為に民間放送局の事例を公表しその情報管理におけるモラルハザードにまで踏み込みます。そして今回の一連の締めとして「医療関係における無線LAN利用の乱れ」を告発する第4次プレスリリースを公表し、日本から無線LANを介した個人情報漏えいや企業・団体の業務情報の漏えいを阻止する考えです。

 

第3次プレスリリースの発表

無線LANに暗号化処置を施さず長年情報漏えいを続けていた新潟県の３団体１民間放送局に警告を平成20年3月3日発表しました。

第2次プレスリリースの発表

皇居内に無線LANアクセスポイント？を平成19年12月17日発表しました。

第１次プレスリリースの発表

誰もが勝手にインターネット使い放題できるソフトバンクBB�梶uYahoo!BB無線LANパック」は全国で約７８万台以上。公衆無線LAN等サービスの約１８倍を平成19年12月10日発表しました。

 

プレスリリース：無線LANに暗号化処置を施さず長年情報漏えいを続けていた新潟県の３団体１民間放送局に警告書 (PDF101KB 2008年3月3日発表)

プレスリリース：皇居内に無線LANアクセスポイント？(PDF 178kb,2007年12月17日発表)

プレスリリース：誰もが勝手にインターネット使い放題できるソフトバンクBB�梶uYahoo!BB無線LANパック」は全国で約78万台以上。公衆無線LAN等サービスの約１８倍(2007年12月10日発表　)

報道資料：ソフトバンクBB�鰍ﾌYahoo!BB無線LANパックが抱える問題について(PDF 678KB　2007年12月10日発表 )

WPA,WPA2への移行を呼び掛ける　(2006年5月8日発表)

WinAirSnort Ver2.0解析結果レポート Ver3.1(PDF)　(2006年5月8日公表)

声明

 

○総務省の無線LANガイドライン、「安心して無線LANを利用するために」を含め多くの無線LANガイドラインの改定を求めます。

　総務省総合通信基盤局移動通信課で作成した無線LANのガイドライン「安心して無線ＬＡＮを利用するために」は4年前の調査が元で作られたものであり、現在の技術的・設置環境の変化に対応できません。総務省の「無線LANセキュリティ等の推進」という政策の中でガイドラインは安全な無線LANの設置おいて「現在では否定される」記述が多くガイドラインそのものが不安材料と化しています。また国機関・業界団体・地方公共団体のガイドラインも無線LANの記述に関しては強く改訂を求めます。平成19年12月に発表された新ガイドラインも不備があり近日中にその点を指摘する意見書を総務省に送付します。

 

○総務省技術基準適合認証を取得していない無線LAN端末の公衆無線LANでの排除を求めます。

　ノートパソコンやiPhone等無線LAN搭載携帯端末に関して注意が必要です。無線LAN付きのノートパソコン・携帯端末が増えていますが、海外で使用される場合、海外の政府・主管庁より認可を受けているものなのか確認をお願いします。電波利用は国の主権に関わる事です。それを踏みにじる行為は真の国際親善ではありません。

　また、公衆無線LAN事業者には正式に許可された無線LAN機器しか接続できない仕組みを強く求めます。海外から持ち込まれた無線LANについて、その使用は電波法第４条・１１０条違反となり、１年以下の懲役及び１００万円以下の罰金が課せられます。理論的に警察は逮捕権をもっており、手順さえ踏めば日本国内の国際空港等での不法無線LANの使用者を現行犯逮捕するのは可能です。

 

○無線LANを日本国内で販売している全てのメーカーに対して、無線LANデバイスドライバーの安全性の確認を求めます。

　無線LANは深刻な問題を抱える事が判明し、無線LANデバイスドライバーを供給しているメーカーの安全宣言が一切出ておりません。「今すぐの問題ではない。」という認識が体勢な為です。「今すぐの問題ではない＝放置して構わない。」となり、更に酷い結果を招くものと強く危惧します。目に見えないものに関して、人は極めてルーズな反応を示します。これが情報セキュリティを考える上では、致命的な取り返しの付かないミスを誘発します。

 

○暗号化手法としてWPA/WPA2に正しく移行してください。（一般個人・SOHO向け）

　無線LANの暗号化として広く利用されているWEPに関して脆弱性が指摘されていますが、決定的な事例を確認した事により事業者向けについては原則WPA/WPA2に切り替える事を強く推奨します。個人向きの通信サービス事業においても「GyaO」[4^thメディア]等ストリーミングサービスが普及し始めています。無線LANによる動画サイトの視聴は、WEP暗号は「全く意味を為さない。」と考えてください。

任天堂DSはWPAをサポートしていません。任天堂DSは専用の無線LANアクセスポイントを設置することを求めます。パソコンや無線LAN搭載家電との「共用無線LANアクセスポイント」は絶対避ける事です。

 

EADS Corporate Research Center（フランス）のCedric BLANCHER氏は以下の通り2005年11月日本で説明しています。

以下http://sid.rstack.org/pres/0511_Pacsec_WirelessInjection_en.pdf　より抜粋

◎WEP is one of the weakest security protocol on earth.

暗号化方式であるWEPは地球上で最も弱いセキュリティプロトコロルの1つである。

◎WEP is still widely deployed.

WEPは未だに広く設置展開されている。

◎Open WiFi networks can be found almost anywhere.

自由に使用できる無線LANのネットワーク（この場合アクセスポイントを差す。）はほとんど何処にでも見つけることができる。

◎Don't　use WEP anymore, it "has no clothes" at all

　もうWEPは使うな、それは丸裸だ。

◎Don't use open networks for public access , use WPA/WPA2

　公衆無線LANをセキュリティ無しで使うな　WPA/WPA2を使え。　

◎Migrate to WPA,　then WPA2 as soon as possible

　直ぐにでもWPAやWPA2に移行しろ。

 

当方の実験結果のレポート、WinAirSnort Ver2.0解析結果レポート(PDF)をご覧下さい。

実験結果からこれらの意見は決して過激ではありませんし同意致します。

 

正しいWPA/WPA2の移行というのは「パスフレーズ(PSK)の文字列が21文字以上」を指します。

通信事業者が設定を行う6文字もしくは8文字のパスフレーズは危険です。

 

○国家機関・地方公共団体・企業・病院における一般事務向け無線LANを撤去もしくはWPA-EAP/WPA2-EAPや独自暗号化・認証技術で管理の厳格化

　しかしながら、無線LANをめぐる情報漏えい機器は日増しに高まっており、前記の対応が出来ない組織では原則利用の停止を。(2008年3月3日追加)

国家機関・地方公共団体・企業・病院における一般事務向用無線LANの使用は停止・撤去を強く求めます。警告を繰り返し行ってきましたが、多くの問題無線LANが放置もしくは対応不足を確認しました。安全確保に関して信用できなくなっています。特に公務員という組織で無線LANの管理運営はもはや絶望です。しかも、自治体のセキュリティ確保の為の運営費は「税金」です。本来なら無線LANを設置した組織には管理者は「調査費」を請求すべきです。無線LANの利用環境は日々変化しており、設置場所の通信環境には定期的な点検を受けなければなりません。通信装置を勝手につけて放置は地方公共団体では出来ないはずです。

また、無線LANを入れる組織には必ず社会的に非難される闇が浮かび上がるという事例の多さを知っているのでしょうか。（平成19年12月の最新事例　北陸地方の地方公共団体において談合事件の発覚）無線LANを安易に入れて放置する組織は腐敗が進んでいる組織という経験則を協議会として認識しています。

どうしても使いたい国家機関・地方公共団体はWPA-EAP/WPA2-EAPや極めて稀ですが独自の暗号化に対応した無線LANを採用するようにしてください。その代り、導入コストは跳ね上がりますのでコスト削減という目標達成は難しいでしょう。WPA-EAP/WPA2-EAPら標準化された技術では暗号解読為の技術情報が公開されていることもあり、大きな期待はできません。原則無線LANの設置利用を停止することが、地方公共団体においては住民の皆様を守るために基本的な対応だと考えます。

SSLによる対応もありますが、これは数年以内に危険になる可能性があります。この件については後日「スーパーコンピューターの低価格化・高速化により飲み込まれる無線LAN・情報セキュリティ（仮題）」という報告書にて詳述する予定です。

 

○日本での「無線LAN利用者保護法」を実現するための活動への協力者を求めます。

　現状では混乱し切ってしまったわが国において、PC業界・通信事業者の思惑とは別に継続的に調査研究を続ける必要があります。無線LANセキュリティ問題に対して、重要な報道がアメリカよりロイターを通して全世界に流れました。それは、2006年8月30日アメリカ・カリフォルニア州議会においてAB2415(「WiFi User Protection Bill（無線LAN利用者保護法）」)が議会を通過し、州知事であるシュワルツネッガー氏のサインを待つだけとなったと報道がありました。ICT産業先進地域でのこの法案の成立は、全世界における無線LAN（WiFi）の利用制度に重大な衝撃を与えるものになります。

更に、2007年12月に米下院が、『Securing Adolescents From Exploitation-Online Act of 2007』 「オンラインの低俗なコンテンツから青少年を保護する」という意味](略称：SAFE Act)法案を可決したという報道が飛び込んできた。この法案の内容は、「インターネット上や電子メールなどでわいせつな写真や作品を目にして報告しなかった場合、その流布に加担したと見なされ、最高30万ドルの罰金を課される恐れがある」とされいわゆる野良ＡＰを使用された設置者にもその罰金が適応されるという。詳細は今後の情報をまたなければならないが、「野良ＡＰの放置は悪である」という解釈が議会でも認識された事はＩＴ先進国として一歩前進したと評価できよう。日本のＩＴ関連の法制度改革にも大きな影響を与える事になるのは必至です。

その上で日本国内での「無線LAN利用者保護法」の必要性を同時に各方面に訴えて行きたいと考えております。アメリカでも日本同様無線LAN（WiFi）利用に関して問題視されており、表面上「無線LAN搭載携帯電話」「Skype搭載無線LAN電話」などの販売開発等の「ニュービジネス」の期待をもたれる報道が盛んですが現在の市民生活においてそれらが受け入れられる法整備も十分ではありません。

国会質問への協力・総務委員会へのデータ提供・各府県に対する問題無線LANの指摘と指導及び各無線LAN提供事業者への意見表明等公的な問題として無線LANセキュリティ問題を専門に取り扱う当協議会へのご協力をお願いします。

 

○個人情報や業務情報等を無線LANに通して使用する業務は「即刻」止めてください。それが団体組織や企業組織を守ります。

国家機関・地方公共団体・企業・病院以外でも弁護士・弁理士・公認会計士・税理士・コンサルティング会社等個人情報や業務情報を扱う一般事務向用無線LANは停止・撤去を強く求めなければならない時代がやってきました。無線LANを使う事は「外に情報をばらまいている。暗号の有り無しは関係ありません。今の無線LAN暗号化技術は技術と資金力があれば高速コンピューターで解読されるのです。」という事を必ず覚えてください。

 

以上７点です。

 

 

無線LAN機器の管理側の問題 と一蹴するのが専門家の対応ですが、過去においては自衛隊・警察といった国民の安全を守る立場の組織でも「セキュリティ上基本意識すら疑う無線LAN」が実は複数発見され、協議会として指摘・指導を行いました。一定のセキュリティポリシーと情報の取り扱いに関して厳重な注意が行き届いているはずの公官庁ですら全く信用できないという複数のデータがあります。他の組織・個人が同じような調査を行うと情報管理者がいるはずの企業・団体の無線LANも１００％正しく設置されている事は無い事が必ず確認できます。無線LAN機器の管理者は基本的に一般家庭であれば所有者、企業・団体であれば情報部門担当者です。正しい安全確保は最終的には、「管理者の責任」です。無線LAN所有者・利用者の意識・モラルに全てが任せられている機器です。全くそれが「当てに出来ない。」という事実・事例があまりにも多く発見されたため、主管庁である総務省に多くの資料を提示し、真剣な対応を求めています。

ちなみに、携帯電話は１年間に1台540円の電波使用料が総務省の特定財源として収められます。しかし、無線LAN機器には電波利用料は徴収されません。免許不要であっても台数が膨大に増え、トラブルが多く更にトラブル急増が予想されます。その事務手続き費用及び対策の為の「財源の確保」の論議が活発化する事を望みます。

 

参考資料：

平成16年4月26日　

総務省　無線LANのセキュリティに関するガイドライン「安心して無線LANを安心して利用するために」

平成16年4月12日　

日本電子情報技術産業協会(JEITA)　無線LANセキュリティガイドライン改訂版

平成19年12月14日　

総務省　無線LANのセキュリティに関するガイドライン「安心して無線LANを安心して利用するために(改訂版)」

 

平成19年12月10日追記分

　近く発表する予定ですが、WEP鍵・WPAパスフレーズのクラック手法として「スーパーコンピューター」の脅威が間違いなく表になります。

 

我々は5年に渡って無線LAN機器の設置台数及び設置された台数に対して暗号化対策を行っている台数を見つけてその暗号化率を行政区単位で調査してきました。平成20年2月末の時点でのデータでは改善している傾向はみられます。しかしながら、全体の台数が増加し、暗号化対策率70％前後の水準であり、場所によっては50％以下ではないのかという地域も存在します。危険な無線LANは減るどころか益々増えています。

日本電子情報技術産業協会(JEITA)が今年4月12日に発表した無線LANセキュリティに関するガイドライン改訂版では、WEP暗号を義務化という「誤報」がインターネットのニュースサイトで飛び出しました。実際は「警告」さえあればガイドラインに準拠となり「暗号化を行うのはユーザーの任意であり、メーカーとしては警告まで十分である。」というガイドラインです。ガイドラインの改定は行うべきであり自動暗号化機能を持たない機器は市場から排除するべきです。

 

上記の論議から無線LAN危機とよばれる、無線LAN機器が招く苦情や問い合わせが今後急増し頻発する事が予想されます。掲示板での書き込みでも、無線LANによるハニーポットと呼ばれる不正利用者あぶり出し接続ポイントを開設して接続してきた無線LANがどの様な動作をしているのか覗いて楽しむ例、隣家に設置してあると思われる無線LANアクセスポイントに勝手に接続してインターネットを楽しんだり速度測定を行ったりしたという書き込みが散見されます。さらに、マンションでは知らず知らずに同じマンション内の無線LANにつながって気が付いたら「他人のアクセスポイントだった。」という例をいくつも筆者自身も確認しています。さらに調査データを確認すると「公衆無線LANのSSIDをもった異常なMACアドレスを持つ無線LANアクセスポイント」が見つかりました。存在が噂される「偽公衆無線LANアクセスポイント」の可能性があります。

無線LAN機器を使った重大犯罪が起こる可能性も否定できません。最も恐れることは、「工作員・サイバーテロリスによるネット攻撃の侵入口。組織犯罪による迷惑メールの配信。掲示板における大量の欺瞞情報の拡散。企業サイトへの侵入及び攻撃のための侵入口といったサイバー犯罪の一つの「温床」になるのはもはや確実であり、実際起こったとしても特定には法律上及び技術上の問題からまず侵入者を取り押さえることはまず出来ないと判断します。つまり、やりたい放題である無線LANを介した情報搾取とネットワークの侵入と破壊活動です。

実際、複数の地方公共団体で致命的な情報漏えいの危険性をもった無線LANがいくつも見つかっているという現状を考えてください。（2008年2月にまた某県庁にてまだ放置されている事実があります。管理の徹底に根本的な疑問を示しました。）

無線LANの危険性が話題として日本社会に一気に広まり、国民は一種のパニック的な様相を一度は経験する可能性があると考えています。（2006年７月追加、法人ベースで既に多くのトラブル事例が多発しているという話を多く聞くようになりました。パニックというべき事態・規模とは言えるか判断は難しいですが、今後家庭向け無線LANでの不正侵入の実態が明らかになればパニック的様相になるものと考えています。）

 

以下のページで無線ＬＡＮにおける問題サービスについて告発を行います。

 

問題サービスについては該当する組織の今後の対応を待って公表する予定です。

 

以下の通りです。

１．  無線LAN機器の増加とセキュリティ向上を確認するための現地調査

　　　　これまで行政区単位での調査は19区市町村。１都２府20県に渡る広範なデータ採取活動。

今後は無線LAN機器台数及び変動データ中心に行政区単位の現地調査活動を優先的に続ける。

 

２．  調査データの分析により、国際機関・政府・業界団体・地方公共団体・関連法人への意見書・データ提出。これまで、無線LANに関して、e-JAPAN2003重点目標に対する意見書。及び総務省の電波政策ビジョンを始め多数の意見書を提出しました。データの数の増加により、国際的な評価に耐えられる水準まで向上したと考えています。

 

３．  無線LAN探査ソフトの独自開発

　　　当グループの関連企業と提携して、無線LAN探査ソフトの独自開発を行い、現在使用しているNetwork Stumblerに置き換える事を目指します。これから起こるであろう無線LAN危機に備えます。

 

４．地域の無線LANセキュリティ意識の啓蒙と対策

　地域における無線LANセキュリティ意識の向上のための宣伝活動を行い、要望があれば無線LANセキュリティ対策指導を行います。

　

特に無線LAN販売企業に対しては、これより重大な企業責任が発生し、法的保護が無い場合、無線LANそのものの市場が急激に縮小する危険性があります。いずれにせよ今までが無線LANバブルの状況であり、正確な理解と運用を考えた場合、現状は名目的な経済成長の道具にされて安全性は多くの欠陥のために野放しと情報漏えいと侵入多発で破たんします。その対策費も時間が経てば経つほど膨大になり、無線LANを使い続けるのは非常に困難な時代になると予言します。調査研究の当方の結論であり、平成20年2月末での見解ではWPAのパスフレーズの長さだけがその破たんを先延ばしする方法でしかないという事です。

 

平成15年3月28日以来北陸だけではなく非常に広範囲に渡って調査活動を行ってきました。平成20年2月現在、石川県金沢市やその近郊を中心に　約190,000件の802.11機器のデータを保持しています。

 

 

調査地域

完全調査地域(平成19年12月10日現在)

1.    石川県金沢市　(北西地域のみ2回目変動データ有)

2.    石川県河北郡内灘町(19回目変動データ有）UPDATE

3.    愛知県名古屋市熱田区（4回目変動データ有）

4.    新潟県白根市 (現在の新潟市)

5.    新潟県西蒲原郡弥彦村 2回目変動データ

6.    石川県能美郡根上町（5回目変動データ有 現能美市）

7.      石川県能美郡寺井町 (3回目変動データ有 現能美市)

8.      石川県能美郡辰口町 (2回目変動データ有 現能美市)

9.    石川県羽咋郡押水町 (現宝達志水町)

10.石川県石川郡鶴来町 (現白山市)

11.石川県河北郡高松町（現かほく市）

12.石川県石川郡野々市町

13.石川県河北郡津幡町

14.石川県松任市　(現白山市)

15.石川県小松市

16.石川県石川郡美川町 (現白山市)

17.石川県能美郡川北町

18.  石川県江沼郡山中町

19.  石川県加賀市

20.  富山県舟橋村

 

北陸三県／新潟県・長野県・山梨県といった甲信越地区／関東首都圏幹線道路／東海地方／関西地方／福島県といった１都２府20県のデータを収集しました。完全調査地域が20行政区(旧行政区を含む)あり、この20行政区(旧行政区)においては今後とも「全数追跡調査が可能」となっています。

 

以下の文書は全てＰＤＦ形式になります。

１．「電波政策ビジョン」への意見書　平成15年6月30日

２．「電波政策ビジョン」意見書への回答　平成15年7月

３．「e-Japan重点計画-2003」への意見書　平成15年７月

４．「e-Japan重点計画-2003」意見書への回答　平成15年8月　p.41 及びp.57民間部門における情報セキュリティ対策及び普及啓発

５．第三次報告書の意見書への回答と第三次報告書の内容　基本的に今回の報告書には何ら反映されませんでした。

６．総務省「電波利用料制度見直しのための論点整理」に提出した意見書とその回答

 

政府・地方公共団体：

　総務省総合基盤局移動通信課・総務省北陸総合通信局・経済産業省情報セキュリティ政策室・経済産業省中部経済産業局・石川県情報政策課・石川県産業政策課・金沢市情報政策課・Wi-Fi Alliance（一部データのみ）・石川県警本部・金沢西警察署生活安全課・金沢中警察署生活安全課・千葉県警　他多数

民間企業：

　�潟求[ト、NTTコミュニケーションズ、Cisco Systems、Intel Corp.、NTT DoCoMo、NTT東日本、NTT西日本金沢支店、Microsoft K.K.、�潟＜泣R（現バッファロー）、�潟\フトバンクBB、�潟Aイ・オー・データ機器　他多数

―――――――――――――――――――――――――――――――――

 

お問い合わせ

e-mail:hga03610@nifty.com

北陸無線データ通信協議会事務局　小西　寛　迄

電話/FAX:076-267-8122