• ベストアンサー
  • 暇なときにでも

無線LANのWEP脆弱性にhttpsやsslは?

当方初心者ですが、よろしくお願いします。 WEPの脆弱性により、無線通信を傍受される危険性が騒がれていますが、 httpsやsslで通信を行えば内容そのものは解読できない云々の話があります。 実際問題、解読できるんでしょうか。できないんでしょうか。 (たとえば、Gmailなどで「常にhttpsを使用する」設定をしたにも関わらず、 無線LAN周辺の第三者にメール本文を盗み見られることがあるのか)

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数916
  • ありがとう数3

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • Werner
  • ベストアンサー率53% (395/735)

WEPとSSLを両方使った場合、 当然両方解読する必要があります。 なのでSSLが解読されないなら盗み見られることはないです。 しかしWEP脆弱性で問題なのは傍受もありますが、 アクセスポイントに第三者が接続できてしまうことも重大な問題だと思います。 (LAN内への侵入を簡単に許してしまう&踏み台利用の危険性) またWEPキーと他のパスワードを使い回している場合(かなり問題のある利用状態ですが)は キーが漏れること自体が問題になりかねないです。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。 某サイトに "(レイヤーというものがあり)SSLが暗号化するのはポイント間のみで、クライアントからルータまでは 暗号化されず、ルータとの通信はSSLではない" といった説があったので、これはガセと考えていいんですね。 まあ、この説の真意がどうかわからないので、なんともいえないかもしれませんが。

関連するQ&A

  • WEPについて

    WEPの脆弱性が指摘されていますが、 実際通信が傍受され大変なことになったことある人いますか?

  • SSLについて

    SSLによる通信では入力情報が第三者に読み取られる危険性はないのですか?

  • WEPの解読について

    今日、新聞を見ていたら 「無線LANのWEPというのが簡単に解析できる」 という記事がありました。 不安になり、自宅で使ってるノートPCを見たら 案の定、WEPで接続してありました。 そこで、色々調べてみたのですが不明な点が一つあります。 WEPキーを解読されることで、外部の人間が「タダ乗り」できるのは わかるのですが、私のノートPCの通信内容(メール等)までも傍受 できるのでしょうか?また、できるとしたら、どういった仕組みで 傍受しているのでしょうか? これから対策を取るのはもちろんなのですが、今まで傍受されて いたのかが特に気がかりです。 どうぞよろしくお願いします。

その他の回答 (1)

  • 回答No.2
  • Werner
  • ベストアンサー率53% (395/735)

> "(レイヤーというものがあり)SSLが暗号化するのはポイント間のみで、クライアントからルータまでは > 暗号化されず、ルータとの通信はSSLではない" SSLが暗号化するのはエンドポイント間なので途中が暗号化されてないなんてことはあり得ないですね。 一部しか暗号化しないのはむしろレイヤ2で動くWEPの方でしょう。 (WEPはそもそも無線のアクセスポイント間を暗号化するためのものですから。) あと、SSLの話が出てきたのでついでに言っておきますが、 SSL2.0は危ないので無効にして SSL3.0とTLS1.0だけ有効にした方が良いですよ。 http://takagi-hiromitsu.jp/diary/20050908.html

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。 おかげさまですっきりしました。 アドバイスありがとうございます!

関連するQ&A

  • POP3 over SSL と APOPを併用した方がよいか

    お世話になります。 APOPの脆弱性は、MD5やSHA-1のハッシュの問題と合わせて色々と難しい理屈のようですが、私の場合はPOP3S(POP3 over SSL)でメールサーバーと通信しているため、IDとパスワードは暗号化されています。 そこで思ったのですが、この暗号化はそれなりに強力な物だとは思っていますが、このSSL接続の中でさらにAPOPを使った方がすこしは安全性がマシになる、といった事はあるのでしょうか。 普通はPOP3を使用すると思いますが、もしSSL接続の中身が見られたとき、APOPならさらにこれを解読(?)する必要がありますよね。 しかし、一般のSSLを破るほどならAPOPなんて数秒で解読できる意味のない物なのでしょうか。 メーラーでかんたんに選べる設定だけに、無意味に悩んでいます。 平文で送るのとAPOPで送るのと (どちらも、それをさらにSSLで送るわけですが)どちらがよいのでしょうか? もちろんメール本文はどちらにしろサーバーの先で平文になりますよね、それは分かっています。 理解が間違っていたらご指摘ください。

  • SSLの安全性

    通信内容がSSLの場合、盗聴や改ざんなどを防げるといこうとですが、 どの程度安全なのですか? 中途半端な知識はあるのですけど。 例えばSnifferやカーニボーで通信内容を完全に傍受されたとき、 公開鍵暗号と共通鍵暗号もとられて解読されてしまう気がするのですが? 例えば私が通販サイトを利用した場合、通販サイト側(WAN)までにはいくつかの 経路がありますが、社内から(LAN)利用した場合などは少なくとも社内からは Snifferで私の通信データは傍受可能です (スイッチハブだからふつうでは無理とかいうのは別) もちろん100%安全とは思っていませんが、どの程度信頼できるのでしょうか? キーロガーやその他スパイウェアの危険性は別として。

  • 無線LAN(WiFi)で危険なのはどれでしょうか?

    無線LANで危険なのはどれでしょうか? 危険、というのは、内容を第三者に読み取られてしまう、という意味とします。 基本条件: ・ネットに繋がった無線LANルータを複数人で使う状況だとします ・SSIDは皆が知っている状態 ・第三者が通信を受信できる環境にいる(電波が届く場所にいる) ・下記の"パスワード"とは最新の解読されないとされる種類の暗号化キー(暗号レベル) ・下記の"VPN通信"のパスワードは第三者は知らないとします この条件で、第三者が無線LANの通信内容を読み取りたいとします。 条件: 1.無線LANにパスワードをかけていない通信 2.パスワードをかけており、第三者はパスワードを知らない通信 3.パスワードをかけているが、第三者はパスワードを知っている(同じ会社の人など) 4.パスワードをかけていないが、通信はVPNで行っている 5.パスワードをかけているが、第三者はパスワードを知っている(同じ会社の人など)、ただしVPN通信 1は論外かと思いますが、2は安全ですよね? 3は1と同じになってしまうのでしょうか? 4と5は傍受されたとしても内容を解読(復号)するのは難しいですよね? よろしくお願いいたします。

  • SSL暗号化の仕組みについて教えてください

    SSL暗号化の仕組みについて、教えてください。 公開鍵を使って共通鍵を生成し、共通鍵で通信をすることで傍受やなりすましによる情報漏えいを防ぐということはわかるのですが、 第三者が公開鍵も、共通鍵も傍受して、情報を傍受していたら情報漏えいのリスクは完全には排除できないような気がするのですが、その点にまでコメントされたものは本でもネットでも見当たらなかったので、 どなたかご存知の方がいらっしゃればご解説願います。 http://www.soumu.go.jp/joho_tsusin/security/kiso/k01_ssl.htm

  • WEPの脆弱性

    無線ランの親機の暗号方式?が脆弱とされるWEPなので、 セキュリティレベルを上げたいのですが、 それには単に無線の親機を買って、 これまでのものと取り替えるだけでよいでしょうか。 接続環境はパソコン→無線子機→無線親機→NTTWebcaster→GE-ONUです。 上記の無線親機を、新品のものと取り替えるだけでよいでしょうか? あと、ネットワーク上に不明パソコンが表示されているのですが(添付画像参照) これは近所の無線ポイントを拾っているだけでしょうか? それとも侵入されているのでしょうか?

  • 無線LANのセキュリティ

    無線LANのことで質問なんですが、WEPやTKIPで暗号化されているルーターを第三者がルーターの接続パスワードを解読して、 不正にインターネットに接続されてしまうなんてことはあり得るのでしょうか? ちょっと気になったのでお願いします。

  • 会員数が少ないログイン後の会員エリアならば、Webアプリケーション脆弱性対策は過敏にならずとも?

    会員数が少ないログイン後の会員エリアならば、Webアプリケーション脆弱性対策は過敏にならずとも良いのではと考えたのですが、妥当な考えでしょうか? 会員サイトを制作しようとしておりますが、内製にするか外部プラットフォームを使うか?で思案しております。 プログラミングできる人間はたくさんいるので内製力はあるのですが(私はプログラミングはできません)、ただ、Webプログラミングでないプログラマーばかりなので、Webの方は不慣れです。 よって、Webアプリケーションの脆弱性対策の知識がまるで無い状況です。 XSS(クロスサイト・スクリプティング) CSRF(クロスサイトリクエストフォージェリ) SQLインジェクション OSコマンドインジェクション HTTP ヘッダ・インジェクション パス名パラメータの未チェック/ディレクトリ・トラバーサル バッファーオーバーフロー など、色々ありますよね。 このあたりのことを考えると、内製はやめて外部プラットフォームを利用するしかないのか、と思っていました。問題が起こっては大変なので。 Webアプリの脆弱性対策は日々新たな脆弱性が出てくるたびに対策を追加していかなければならないので大変そうで・・・・・ そういう中で気づいたのですが、Webアプリケーションの脆弱性を突く色んな方法がありますが、よくよく考えますと、会員エリアは会員しか入らないのだから、そんなに過敏に考えなくとも大丈夫なのではないか、と思い直したのです。 何せ会員数が少ないのです。 当初は10~30名程度、100名になるのもだいぶ時間がかかる感じですので。 会員しかもらえないログインID・パスワードでログインしたあとの会員エリアですから、ここの中の各入力フォームに悪いコードを入れる輩は会員か会員がID・パスワードを教えた第三者しかないわけで、本件のように会員数が極端に少ない場合なので、すぐ面が割れると感じる会員が悪いことをしづらいだろうと思ったのです。 質問ですが、 質問[1] 会員ログインページは非会員でも開けるので、このID・パスワードのinput textに対するWebアプリ脆弱性処置ができないことになる。 ここは会員だけ開くページでないため危険にさらされるわけだから、処置ができないと結局意味が無いでしょうか? 質問[2] ログイン後の会員エリアであっても、知識のあるクラッカー(悪いハッカー)からすればURLを知ることはお手の物であり、会員しか入れないエリアの入力フォームのWebアプリ脆弱性対策ができていないと、いくらログイン後のページであっても関係なくどんどん突かれてしまうのでしょうか? 以上です。 有識者の方の的確なお話を頂戴できればとてもありがたいです。 何卒宜しくお願いいたします。

  • Lhacaの脆弱性が発見されたとのこと…で、対応策は?

    japan.internet.comのニュースに以下の内容がありました。 --------------------- 『LZH ファイルに注意!~シマンテックが一部の「Lhaca」における脆弱性を発見』 「2007年6月26日 16:00 付の記事」 シマンテックは、2007年6月26日、「シマンテック セキュリティ情報」として、LZH ファイルに注意するように呼びかける警告を発信した。 シマンテックでは、6月22日に日本のユーザーから LZH ファイルの提出を受け、このファイルを検証した。 その結果、複数の NOP スレッド、シェルコードに似たコードブロック、暗号解読用コード、エンコードされた実行ファイルがアーカイブファイル自体に入っていたことが発見された。 ファイルフォーマットを悪用する際に必要な構成要素のすべてが含まれていたとされる。 今回のケースの難点は、脆弱性を持つアプリケーションを見つけることであったが、Symantec Security Response チームに所属する末長政樹氏が行った初期分析により、少なくとも「Lhaca デラックス版バージョン1.20」が脆弱性を持つことが判明した。 この脆弱性は文字列長の確認を適切に行わない strcpy()の呼び出しが原因。重要なスタックメモリーが上書きされる恐れがあり、制御がシェルコードに移行する。 この発生を最大限にするために、シマンテックが入手した「.lzh」ファイルにはコードが2つ含まれている。 テストによると、コピーされる文字列はアーカイブしたファイルの中の一ファイル名のようであるという。 アーカイブ自体は「Trojan.Lhdropper」として検出される。 これが「Lhaca デラックス版 1.20」のインストールされた日本語版 Windows XP 上で実行に成功した場合、Windows の Systems フォルダにバックドアが開く。 また別の LZH アーカイブも放出され、これはバックドアが開いた後に開かれる。 このアーカイブには、日本で一般的なフォーマットである「一太郎」の無害なドキュメントが含まれている。 明らかにこれが、ユーザに疑問を抱かせないためのトリックであるとシマンテックは述べる。 このテクニックは「MS Office」に対する攻撃にも使用され、通常は攻撃が終わった後に無害な Word や Excel ドキュメントが開かれるという。 --------------------- で、結局のところ、「Lhaca デラックス版バージョン1.20」を使うのを、すぐにでも中止した方が良いということでしょうか? それとも、普通に使っているぶんには問題ないということでしょうか?その場合、何に注意して使わなければならないということでしょうか? また、LZH形式だけ対象のようなので、ZIPで圧縮・解凍して使っているぶんには、まったく問題ないのでしょうか? 何に注意し、何をどうすれば回避できるのかが、明確に書かれてないので、イマイチ危険性がわかりません。 どなたか、わかりやすく回答いただけると助かります。 よろしくお願い致します。

  • 無線LANのセキュリティについて

     まだパソコン初心者で、表現の至らないところがあるかもわかりません。先にお詫びいたします。  無線LANのセキュリティについてお伺いしたいと思います。  今、インターネット接続の用途として無線LANを利用しています。そのセキュリティとして、SSIDの隠ぺいとWPA2(ですか?)AESを使っています。  ところが以前、あるPDAを無線Lanで繋ごうとしたら、AESはおろかTKIPも対応しておらず、可能なのはWEPの128bit(104bitというべき?)だけのようです。しょうがないのでこのときは諦めました。  そしてこのたび、我が家にもDSが来たのですが、DSもどうやらWEP限定仕様だと分かりました。  そこで皆様にお聞きしたいのですが、  無線Lanのセキュリティを『ステルスSSID』『MACアドレスでの制限』『WEP(128)』で行った場合、一般的な家庭のセキュリティ対策として、いかがなものでしょうか。我が家は市街地に位置しており、マンションだということも不安の種なのですが……。  ウェップの脆弱性とかMACアドレス偽称の可能性とか(any接続拒否については仕組みがわからないので効果がよくわからないのですが)、考えれば考えるほど不安です。  個人的にネットを使うだけなので、特段見られたら困るようなものはないのですが(ネットでの重要な情報の入力は大抵SSL使ってますし)……。  これでは完璧じゃないのは漠然と理解していますが、その危険性を感覚的に助言していただけませんか?

  • SSL通信ページを導入したところ逆に不安な印象を与えてしまいます・・・

    ホームページのお問い合わせページを個人情報保護の為に、 SSL対応にしたのですが、メールフォームの入力テストを行ってみたところ、 「このページは暗号化されていますが、第三者が簡単に傍受できます。」というアナウンスが流れ、逆に不審に思われそうになっています。 メールcgiのURLの先頭をhttpから、サーバー指定のhttps:// に変更して、SSL対応にしているのにこの結果です。 SSLにしなければ問題にならない部分なのかもしれませんが 情報漏えいを防ぐ為にできるだけのことをしたいという気持ちです。 ご教示宜しくお願い致します。