Q&A
eviltwinは聞いたことがあります!
上級国民でもなんでもない僕が使用する程度のフリーWifiにそのトラップが仕掛けられるかは確かに不明ですが、具体的なセキュリティリスクですね!ありがとうございます!
外出先で公共フリーWifiを頻繁に使用するので、VPN使用を考えていますが質問があります。
よくスマホアプリで月額料金型のVPNアプリを見かけます。
鍵マーク無しのWifi使用についてVPNが必須だろうということは分かりますが、以下のようなフリーWifi環境下でVPNを使用していない事で起こりうる具体的なセキュリティリスクが知りたいです。
雑な質問ですいません。
・ここで言うフリーWifiは鍵マークありのWPA2規格。店内にSSIDとパスが提示されているパターンや認証サーバーを使うパターンのものとする。
・使用するスマホやPCには基本的なセキュリティソフト(avastやカスペルスキー・ESETなど)は入っているとする
・VPNアプリは信頼のできる会社の安全なアプリケーションとする
---------------------------------------
また、VPNやフリーWifiのセキュリティについて調べていると以下の質問が以前されていました。
↓
【通信と公共フリーWifiにおいて、具体的なリスクを知りたい。】
https://teratail.com/questions/160123
以下抜粋です。
" フリーWifiの問題点は下記だと認識しています。
攻撃者と同じネットワークに入ってしまう可能性があり、
パケットキャプチャ等を使われるとSSL通信以外の通信が平文で見られてしまい
パスワード等の重要情報が見られてしまうこと
上記で正しいなら、
SSLサイトしか使わないなら
公共のフリーWifiは重要なサイトでログイン等を行ってもOKということでしょうか?
"
この質問で、
>SSL通信以外の通信が平文で見られてしまいパスワード等の重要情報が見られてしまうこと
とありますが、https以外のサイトにアクセスすると、httpsサイトで入力した重要情報が見られてしまう危険性がある、という意味でしょうか?
仮にそうであるならば、VPN使用は必須じゃないか・・・と思ってしまいました。
まとめると、質問としては、
・質問環境下でVPNを使用していないことで起こりうる具体的なリスク
・非SSL通信を行うとHTTPSサイトで入力した情報が見られてしまう可能性があるのか?
の二点です。
ネットワーク通信に関しては無知なので諸兄にはアホみたいな質問かもしれませんが、どうぞよろしくお願いします。
####追記####
皆さん回答ありがとうございました!
SSLがスタンダードになりつつある昨今、フリーwifiでのVPN使用による具体的なメリットがいまいちわかっていなかったのですが、皆さんの回答でより理解が深まりました!
その中でも、丁寧かつ詳しく回答していただいたockeghemさんをベストアンサーにしたいと思います!
また、プログラムに関係のない質問との指摘もありましたので、この辺で終わりにしたいと思います。
ご迷惑おかけしました!
回答5件
0
ベストアンサー
引用されている質問の回答者です。
・質問環境下でVPNを使用していないことで起こりうる具体的なリスク
これについては引用されている質問で詳しく書きましたので、それを読んだ上で、わからない点について質問してください。あのレベルの回答を何度もするのはさすがにゴメンです。
・非SSL通信を行うとHTTPSサイトで入力した情報が見られてしまう可能性があるのか?
これは違います。盗聴されるのは非SSL通信の内容のみです。問題は、「知らないうちに非SSLの通信が行われているかもしれない」ということで、これは特にスマホアプリの場合を例にあげています。
追記
仮にVPNを使用していても
・DNSに対する攻撃
・ARPスプーフィング
についてはVPNがあろうがなかろうが関係ないという認識でいいのでしょうか?
VPN経由の通信に関しては保護されると思いますが、VPN接続の際に偽のVPNサーバーをつかまされるという攻撃は考えられます。それを防ぐために「サーバー認証」という仕組みを使いますが、VPNサービスによってはサーバー認証がされていないようです。なので、そこが心配であれば、サーバー認証はされているのかを問い合わせることになると思います。
まぁ、現実問題としては、VPNのサーバー認証を気にする人はあまりいないとは思います。
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html
の内容についてはいわゆるeviltwinsの事なのかなと思ったので、VPNを使えば盗聴や改ざんは不可能(限りなく難しい)と考えて良いのでしょうか?
はい。VPNを使っている前提では、この攻撃は気にしなくてよいと思います。
投稿2019/12/16 13:44
編集2019/12/16 22:09
総合スコア11705
0
そこらへんの考え方は人それぞれなので、あなたの思うようにすればいいと思いますよ。
私は、フリーWifiでカネの絡むような作業はしないので、気にせずにそのままつなぎますね
投稿2019/12/16 12:32
総合スコア88024
回答ありがとうございます!
確かにセキュリティ関連に関して100%ということがないことも分かります。
VPNを使用すればより安全というのはわかるのですが、質問としては
・質問環境下でVPNを使用していないことで起こりうる具体的なリスク
・非SSL通信を行うとHTTPSサイトで入力した情報が見られてしまう可能性があるのか?
の二点です。
質問が分かりにくくてすいません
よろしくお願いします
通信内容をすべてキャプチャできるというのはおわかりでしょうか。
そして、いくらSSHで暗号化したとしても、それを解読するのは不可能というわけでもないです
#時間がかかるだけ
また、VPNを使用したところで、その通信内容を解読できないことを保証するのはなにもないですね
>通信内容をすべてキャプチャできるというのはおわかりでしょうか。
すいません!知りませんでした!
通信内容をキャプチャできるのは公共フリーWifi、つまり同じネットワークに繋いでいるから、という認識でいいのでしょうか?
同じネットワークにつないでるから、というのもありますが、
悪意のある人間が建てたWifiであるならそれこそやり放題になりますよ。
0
そもそもTLS1.3の仕様書には以下のように書かれています。(RFC 8446より抜粋)
TLS allows client/server applications to communicate over the Internet in a way that is designed to prevent eavesdropping, tampering, and message forgery.
なのでSSL/TLS等に脆弱性がない場合、内容は暗号化されます。
ただ、y_waiwaiさんがおっしゃっているように複合はいつか可能です。
時間が途方もなくかかるだけです。
現状、多くのサイトで使われているSHA-2というハッシュ関数も途中まで解析(攻撃)はできています。
ただ、現場ではソルト等を行うことでさらに複合を困難にしているので解析(攻撃)には途方もない時間がかかるでしょう。
ちなみに、
WEBサイトだけに限るとサイト内で非SSL/TLS通信を行なっていた場合、鍵マークが「赤」や「打ち消し線」になったりするのが大半です。
投稿2019/12/16 15:11
編集2019/12/16 15:27
総合スコア10429
0
いずれにしても、あなたのIPアドレスを隠し、本名と正確なアドレスにリンクすることが不可能なように匿名で支払うことができる信頼できるVPNを使用する必要があります。
投稿2020/04/23 13:58
総合スコア4
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/12/16 15:42