Google Reader終了 7月1日に

■ ネット Posted by ひぐま (Higmmer) on 2013-03-14 at 12:01:00

◆共有テーマ: Google [コンピュータ]

マジか。Sage++ (Higmmer's Edition)はどうする??

「WPA(TKIP)が1分で破られる」という誤報は何故広まったか

■ ネット Posted by ひぐま (Higmmer) on 2009-09-27 at 23:14:51

◆共有テーマ: インターネットセキュリティー [コンピュータ]

当ひまグでも「無線LANセキュリティの世界でまかり通る「ウソ」について考える」として書いた件について、この界隈では手強い論客として知られる高木浩光先生が、わざわざ広島で行われた研究会に実際に出向かれて発表者の話を聞いた上で(*1)詳しく解説されている。

色々と興味深い内容が書かれているので幾つか箇条書きで紹介(詳細は上記サイトを参照のこと)。

  • 中間者攻撃のデモは無く、実験は(昨年の)Beck-Tews攻撃と同じ環境で行われた
  • この手法でWPAを破るには11分はかかる(1分で破られるというのは誤り)
  • (この手法を用いた)DNSパケットの改竄に成功したわけではない
  • 今回の発表では対策方法についての議論は無し
  • 間違った報道がなされているといった釈明或いは訂正も無し
  • 今回の発表論文の意味を読者は正しく読み取れるだろうか(疑問)

まずもって実際には「中間者攻撃」は実装すら行われていなかったというだけでも「なんじゃそれ」という感じだが(*2)、先のエントリの脚注にも書いた通りそれは攻撃時間短縮とは無関係なのでどうでもいいということだろう。しかし、それにしては一連の報道においてこの「中間者攻撃」という言葉が踊り過ぎている気がする。

更に最も重要な「WPA(TKIP)が数秒~1分以内で破られる」という点についても完全な誤報だということが実際に発表内容を聴いた方の手によって改めて明らかとなった。

一体どうしてこんな誤報が広まってしまったのか。高木先生は(立場上?)明言はされていないが(*3)、門外漢の素人の立場から言わせてもらえばこの分野の専門家或いは研究者と言われる方々の責任が極めて重いと思う。

勿論、第一義的には誤報を流した「日本のIT分野の科学ジャーナリズム」に問題があることは言うまでもない。だが、今回の件に限って言えば少なくともGIGAZINEは発表者のコメントを取っているし、マイコミジャーナルも(後日だが)発表者本人による解説記事を掲載している(*4)。しかし(先のエントリにも書いた通り)それらのコメントや解説自体に誤りや誤解を招く表現が少なからず含まれているにも関わらず、結果として誤報を「もっともらしく信用させる」役割を担ってしまっている。そういった一方的な情報を垂れ流すのではなく複数の専門家や論文等に当たって検証するのがジャーナリズムの役割だと言えばその通りだが、実際問題としてそれがなされていないという現状がある以上、コメントを寄せる側も相応の注意を払うべきではないか。

それとも研究者は研究するのが仕事であり、それが世間に与える影響まで考慮する必要はないということだろうか。それはそれで一つの立場としてはあり得るだろうが、この間の一連の動きを見ていると必要以上の危機感を煽るような言葉(*5)の「火元」は寧ろ当事者側であり、そこに各メディアによる尾ヒレが付け加わったことで世間一般に誤った認識が広まったというのが実態のような気がする。それらを放置・黙認することで世間の注目を浴びることを狙っている――などとは思いたくないが、このようなことが仮に今後も続くならば、「暗号は理解されない」という発表者の思いとは裏腹に、この分野はますます世間一般から理解されないものになっていくだろう。

(*1) いつもながらこの行動力には敬服させられる(他に書く人がいないのが問題なのだが)。

(*2) 産総研の分析でも述べられている通り、この「中間者攻撃」が成立するかどうかは「現実の脅威」を評価する上で重要なファクターの1つとなるにも関わらず。

(*3) 言外に言わんとしているニュアンスは伝わってくる。

(*4) ちなみにこれらの記事は発表者自身のブログでも紹介されているが、特に訂正や補足がなされている様子はない(→[1], [2])。

(*5) 「最短で数秒」「中間者攻撃」「システム自体を崩壊させることが可能」「AESなら安全というのは都市伝説」など。

ニンテンドーDSがWEPにしか対応しない本当の理由

■ ネット Posted by ひぐま (Higmmer) on 2009-09-21 at 19:15:50

◆共有テーマ: インターネットセキュリティー [コンピュータ]

Twitterで少々気になる発言を見つけた(元ネタは「情報科学若手の会」の内容らしい→参考)。

WEPの暗号はもはや一瞬で解けるのでパスワードをかけている意味がない。WPAはアドホックモードができないのですれ違い通信したいNDSではWEPだけサポートしたのでWPAにつなげない#wakate2009

Twitter / nishio hirokazu: WEPの暗号はもはや一瞬で解けるのでパスワードをかけ ...

これは任天堂の技術者に聞いた情報だろうか?自分の認識ではニンテンドーDSのアドホックモード(*1)は「任天堂独自プロトコル」を使っており、標準準拠のインフラストラクチャモード(*2)とは何の関係もないと捉えていたので、一方の仕様が他方の制約の影響を受けるとはにわかに信じ難い。とはいえ、通信プロトコルのベース部分はIEEE802.11のそれを流用している可能性もあるので、DSのアドホックモードで本当にWEPが使われているのかを調べてみることにした。

(*1) 「DSワイヤレス通信」「DSワイヤレスプレイ」などと呼ばれる。

(*2) 所謂「ニンテンドーWi-Fiコネクション」のこと。

というわけで、以下が「ドラゴンクエストIX」において「すれ違い通信」の待ち受け時、及び「外の世界の仲間を募集する(マルチプレイのホスト)」状態にした時のビーコン情報をキャプチャした様子だ。

DQ9における暗号化の状態 DQ9における暗号化の状態

上がすれ違い通信時、下がマルチプレイのホストとなった時のビーコン情報(Speedが2Mbpsになっている点に注目)。
いずれの場合においてもWEPフラグはオフになっている。

これを見れば明らかなように、ビーコン情報の暗号化の欄が空欄になっており、(WEP)暗号化はされていないことを示している。また、よく見るとTypeの欄が「AP」になっていることから、厳密にはアドホックモードではなくインフラストラクチャモードにおけるアクセスポイントのように振る舞っていることが分かる(*3)(*4)。このように、先に引用した発言は前提から間違っている可能性が高い。

また仮にその情報が正しかったとしても、先に述べたように両者は独立したモードなのだから、アドホックモードはWEP、インフラストラクチャモードはWPA(以上)と使い分ければいいのであって、そんなのはWPAに対応できない理由には全くならない。これは論理的に考えれば簡単に分かることだ。現に(その仕組みはどうであれ)DSと同じく「すれ違い通信」を実現しているPSPはしっかりとWPA(TKIP/AES)に対応しているという事実をご存知ないのだろうか。

(*3) 最大16台までの同時通信を行う必要上、1台が親機となって他の子機をぶら下げる方式になっているのだろう。

(*4) ちなみに画面は示さないが、PSPにおけるアドホックモードの場合はType欄がきちんと「Peer」になる。

それよりは、初代DSに採用した無線LANチップがショボ過ぎてハードウェア的にWEPにしか対応できなかったという方が理由としてはよほど納得できる(*5)。但しその場合でも、WPA(TKIP)までならばWEPの基本アルゴリズムやハードウェア(回路)を流用しつつソフトウェア的に対応することも不可能ではないはずだが、やはり何らかの制約(*6)があって実現できなかったのだろうか。

見過ごされがちな事実だが、「ニンテンドーWi-Fiコネクション」の最初の対応ソフトが国内において発売されたのは初代DS発売の約1年後。つまりそれまでにWPA(TKIP)対応の通信ドライバが開発できていたなら間に合った可能性もあるわけだ(*7)。しかし実際はそうはならず、その後2回のハードウェア更新(DS Lite/DSi)を経た現在に至ってもなおWEP対応のみのソフトが大量かつ新規に販売され続けているというのが厳然たる事実だ。その数は直近のドラクエ9とポケモン金銀を合わせただけでも実に約500万本にも上るというから凄まじい。

更に言えばWi-Fi AllianceがWPAをWi-Fi認証の必須項目に加えたのは初代DSの発売から1年以上前(*8)、最初の「ニンテンドーWi-Fiコネクション」対応ソフト発売から見れば実に2年以上も前なのだ(*9)。そこにいかなる理由があろうとも、ニンテンドーDSがWPAに対応しなかったことの免罪符にはならないと考えるのは自分だけだろうか。

(*5) 無印IEEE802.11という古い規格にしか対応しなかった点からも十分考えられる。

(*6) 例えばCPUの処理能力やメモリ容量の制約など。

(*7) ちなみにDSとほぼ同時発売のPSPも当初はWEP対応のみだったが、その後のファームアップで1年以内にWPA(TKIP/AES)への対応を完了させた。

(*8) 2003年9月(規格の提案は2002年10月末)。初代DSの発売は2004年12月2日。

(*9) 紛らわしいが初代DS/DS LiteはWi-Fi認証機器ではない。但しDSiはWi-Fi認証を受けている


無線LANセキュリティの世界でまかり通る「ウソ」について考える

■ ネット Posted by ひぐま (Higmmer) on 2009-09-18 at 01:13:31

◆共有テーマ: インターネットセキュリティー [コンピュータ]

WPA(TKIP)が解読されたというデマに注意」というエントリを書いてから久しいが、最近になってまた無線LANセキュリティ界隈が賑やかになっているようだ。きっかけはおそらく以下の記事だろう。

最初に逃げを打っておくが自分は無線LAN技術者でもセキュリティ専門家でもない。だが自分なりに調べた結果この記事は見出しの時点で2つのウソを含んでいると分かった。

(9/27追記)

本件について広島で行われた発表会に実際に出向いて発表者の話を聞かれた方による解説は以下のサイトへどうぞ。

その1) WPA(TKIP)を「数秒から数十秒で破る」ことができる?

→ ウソ! 実際の所要時間は「およそ12分+α」程度

件の発表論文によれば今回の攻撃は以下の3つのフェーズで行われる。

  1. 中継モード
     攻撃者はAP-端末間の直接通信を妨害し、代わりに自分が中継役となって通信を監視する
  2. MIC鍵復元モード
     正規の(必要な)通信がないタイミングを見計らって攻撃を開始、MIC鍵の復元を試みる
     (所要時間 12~15分)
  3. メッセージ改竄モード
     2.で得られたMIC鍵を用いて改竄パケットを作成、端末に送り込む
     (所要時間 数秒~数十秒/1パケット) (*1)

これらの技術的詳細について理解する必要はない(というか自分も理解していない)(*2)。しかし上記2.における所要時間は昨年のBeck-Tews攻撃と全く同じ。今回短縮されたのは上記3.の部分らしい(以前はこれが4~5分だった)(*3)。

もちろん所要時間が数十秒なら危険で12分+αなら安全などと言うつもりはない。どちらも誤差程度の違いでしかないだろう(*4)。だが普通「暗号が数十秒で破られる」と聞いてどのようなイメージが浮かぶだろうか。殆どの人はおそらく「暗号通信が筒抜けでほぼ暗号化してないに等しい状態」を思い浮かべるのではないか。現にそうしたイメージを助長するかのような記事も出て火に油を注いでいる。

特に前者の記事では「WPAを利用したいかなるシステムであっても1分とかからずに突破が可能」「WPAは無線LANのセキュリティ技術としては意味をすでに成していない可能性がある」などとおどろおどろしい言葉が並んでいるが、これは明らかに言い過ぎだ。また、後者の「WPA」という表現は本件があたかも「WEPが(数秒で)解読される」という話と同レベルの問題であるかのような印象を与える。しかし実際には任意のパケットを解読できるわけではないし、任意のパケットを改竄できるわけでもない

更に攻撃対象とするシステムについても「直接通信が行えない距離にあるアクセスポイントとクライアント」を仮定していることなどから、産総研では「提示された脆弱性は、現実の無線LANの常用環境での攻撃は比較的困難であり、直ちに実用環境でのデータの盗聴などの深刻な被害の蔓延は予想されない」結論付けている(*5)。

だからといって何の対策も講じなくてよいと言いたいわけではない。だが正しい対策を取るにはまず正しい情報を知ることが必要だ。

(*1) 発表者によれば1分以内に成功する確率は約37%(理論値)、実験における平均所要時間は10秒程度とのこと。

(*2) 詳しく知りたければ産総研が出している「WPA の脆弱性の報告に関する分析 (技術編)」が非常に参考になる。

(*3) 但し所謂「中間者攻撃」が時間短縮に寄与したわけではない。TKIPの防御機構を回避するために以前はQoSの抜け穴を利用していたのを、自らが中継役となって通信を監視・細工をすることで実現したという話のようだ。時間短縮は別途、改竄対象とするパケットの種類を限定したり確率的な手法を使うことで実現している。

(*4) 実際にはグループ鍵の更新間隔を2分程度にすることで「MIC鍵復元」を失敗させられる(産総研の分析より)。だとするとこの違いは数字の差以上に大きな意味があるとの見方もできる。

(*5) 一方、発表者は「現実的な被害を生じさせることが可能で、通信システムとしては極めて危険な状態に置かれる」と主張している。これはどちらが正しいという話ではなく、「現実」という言葉の意味するところの違いだろう。

その2) 「WPA2に移行」すれば安全?

→ ウソ! 単に「WPA2」というだけで安心してはいけない

これを「ウソ」と言うのは言い過ぎかも知れないが少なくとも「誤解を招く表現」だ。しかし世の中には何故かこういった表現が蔓延している。

より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。

無線LANセキュリティ「WPA」をわずか1分以内で破る手法発見される [マイコミジャーナル]

Girard 氏は InternetNews.com に対し、「(中略)今すぐ WPA2 Enterprise に移行するよう推奨する」と電子メールで回答してきた。

WPA も60秒で破られる――日本人研究者などが発表 [japan.internet.com]

森井昌克氏によると、「以上のように,WEPはまったく暗号としての体をなさず,その暫定的な改良であるWPAも大きな問題があることが明らかになりました.早期にWPA2に移行する必要があります.」とのこと

無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり [GIGAZINE]

今回のWPA-TKIPに提案した攻撃モデルは、WPA2やWPA-PSK(AES)へは適用できない

WPAを破った森井教授からの提言- 無線LAN暗号化の脆弱性~暗号化の意味と真の問題点~ [マイコミジャーナル]

実際には「WPA2=安全」と考えるのは誤りだということは以下の事例を見れば明らかだ。

ここで重要なのは「TKIPを使っているか否か」であり「WPAかWPA2か」ではない。WPA2であってもTKIP方式の場合は「全く同じ攻撃が可能」だと産総研のレポートに述べられている。また、それによるとこの「WPA2(TKIP)」というモードはIEEE802.11i 仕様書にも載っている(*6)(*7)由緒正しい(?)ものにも関わらず、専門家と言われる方々までもが誤った説明をしてしまうのは理解に苦しむ。

ちなみに最後に挙げた記事は以下のように続いている。

これはAESを利用しているから適応できないのではなく、CCMPというAESの利用法に工夫を加えているからである。無線LAN暗号化を含めて、暗号システム全般において、「AES(鍵長256ビットの方式を含めて)であれば安全」は単なる都市伝説にすぎない。

WPAを破った森井教授からの提言- 無線LAN暗号化の脆弱性~暗号化の意味と真の問題点~ (マイコミジャーナル)

一方でこのように述べながら(*8)、他方では「WPA2であれば安全」というような新たな「都市伝説」が広まってしまうのは本意ではないだろう(*9)。

(*6) WPA2でのCCMP(AES)の実装は「義務」でTKIPは「オプション」という扱い。

(*7) 正確には「WPA/WPA2」はWi-Fi Allianceが認定する呼称であってIEEE802.11iに出てくる用語ではない。

(*8) このような言い方は一歩間違えれば「解けない暗号は無いからWEPによる法的防御で十分」「見られて困る情報は無いから逆にノーガード戦法」「有線最強」などの偏った認識を招きかねない(いずれも某掲示板で実際に見られた反応)。

(*9) しかもこの場合、我々素人レベルでは(適切なパスフレーズを設定しさえすれば)現時点で「AES=安全」と言っても事実上差し支えないのに対し、「WPA2=安全」はそうではないという点でも問題だ。


<参考サイト一覧>

<続報 (9/27追記)>

WPA(TKIP)が解読されたというデマに注意

■ ネット Posted by ひぐま (Higmmer) on 2008-11-10 at 03:23:18

◆共有テーマ: インターネットセキュリティー [コンピュータ]

(2009/9/18追記)
「WPA(TKIP)が数秒~1分以内で破られる」というのはウソ?ホント?こちらのエントリに詳しく書きました。

一部サイトの報道が原因で「WPA(TKIP)が破られた」という情報がネット上に広まっているようです。自分も気になって色々と調べた結果、これはデマであることが判明しました。以下のサイトで当の研究者本人が明確に否定しています。

The early coverage of this crack indicated that TKIP keys were broken. They are not. "We only have a single keystream; we do not recover the keys used for encryption in generating the keystream," Tews said.

"It's not a key recovery attack," Tews said, "It just allows you to do the decryption of individual packets." This approach works only with short packets, but could allow ARP (Address Resolution Protocol) poisoning and possibly DNS (Domain Name Service) spoofing or poisoning.

Tews pointed out that "if you used security features just for preventing other people from using your bandwidth, you are perfectly safe," which is the case for most home users. Someone can't use this attack to break into a home or corporate network, nor decipher all the data that passes.

So WPA isn't broken, it turns out, and TKIP remains mostly intact.

確かにキーストリーム(暗号化で生成する擬似乱数列)の一部が解読されたのは事実のようですが、暗号鍵そのものが破られたわけではないようです。また、この方法が適用できるのは今のところ短いパケット(short packets)に限られており(*1)、これを利用した一部の攻撃が可能にはなるものの、他人のネットワークに侵入したり通信内容を丸々解読したりすることはできないと述べられています。

勿論、これが突破口となって更に研究が進めばWPA(TKIP)自体が使い物にならなくなる日もそう遠くはないと思いますが、少なくとも現時点でWPA(TKIP)が破られたとする報道は誤りですので惑わされないようにしましょう(どうしても心配な場合は鍵更新の間隔を短くするなどの応急対策もあります)。可能であれば速やかにAES-CCMPを使った方式に移行するのが望ましいのは言うまでもありません(*2)。

(*1) 膨大なコンピュータリソースを投入すれば長いパケットも解読できる可能性はある
(*2) 但し事前共有鍵はできるだけ長くてランダムにしておかないと辞書攻撃でイチコロなことに注意(TKIPでもAESでも同じ)


<続報 (2009/9/18追記)>

キモチワルイ

■ ネット Posted by ひぐま (Higmmer) on 2008-08-12 at 00:37:19

◆共有テーマ: Google [コンピュータ]

日本の住宅街を

へんなおじさん

こんな人が徘徊してたら明らかに変質者扱いされるし警察に通報されて連行される可能性が極めて高いと思われるのに

これだと

何も言われないのは何故だろう。実に興味深い。

>>続きを読む

はてブからネットイナゴを駆除(?)する「Hatebu Tag Killer」

■ ネット Posted by ひぐま (Higmmer) on 2007-06-17 at 02:47:20

◆共有テーマ: インターネットサービス [コンピュータ]

自分ははてなユーザーではありませんが、はてなブックマークのhotentryは情報収集に利用させてもらっています。勿論その多くは有益な情報で構成されているので情報源のひとつとしてはかなり重宝しているのですが、反面ある特定エントリにネガティブコメントが集中したり、はてなユーザー同士の内紛が繰り広げられている様子が延々と上がってきたりすることがありました。

個人的にはそういったエントリには興味がないのであまり見たくはないのですが、確か現在のはてブでは「○○を含むエントリ」を抽出することはできても逆はできなかったと思います。幸いにして自分が使っているSage++ (Higmmer's Edition)では広告ブロック機能が実装されており、それを利用すればURLでフィルタをかけることが可能なので、何度も目にする嫌なサイトはこれで除去してそれ以外は脳内フィルターを適用するなどの対策を取ってきました。

ところが最近では論争が拡大の一途を辿り、遂には外部サイトを巻き込んで一種の「同時多発はてな紛争」とでも言うべき状態になっているように思います。こうなってくるとURLフィルタだけではとても間に合いません。というわけで作ったのが次に紹介する「Hatebu Tag Killer」と「Hatebu Tag Killer G」です。

Hatebu Tag Killer

Yahoo! Pipesで記述したフィードフィルタです。はてブが生成するフィードから特定タグを含むエントリを除去することができます。除外するタグは16個まで指定可能(*1)。現在のYahoo! Pipesでは出力フィードのタイトルを設定することができないようなので、代わりに各エントリタイトルの先頭に特定文字列を付加する機能も付けてみました。

ただ残念ながらhotentryのRSSフィードでは最大で5つまでしかタグが出力されず、しかもその選別基準がイマイチ不明(*2)なのでこれだけでは多くのエントリがスルーしてしまいます。そこで以下の2つのPipeを用意しました。

これらはその名の通りタイトルやURLに特定の文字列を含むエントリを除去します(各16個まで指定可能)。URL欄にHatebu Tag Killerで生成したフィードのURLを入れることで更に絞り込みを行うことができます。勿論、他にも例えば広告エントリを除去したいような場合にも利用可能です。

注意点として、これらのフィルタを組み合わせる場合は必ず最初にHatebu Tag Killerから適用して下さい。これはYahoo! Pipesが出力するフィードからは何故かdc:subject要素=タグ情報が削られてしまうため、後からでは選別することができなくなるためです。

(*1) 実際はdc:subject要素を見ているので、はてブ以外でも複数カテゴリから成るフィードから特定のものだけを除去するというような使い方も可能。
(*2) 単純に上位5つのタグというわけでもなく、かといって新着順でもなさげ。というか普通に上位タグを拾わないのは何故なんだろう???

尚、URLが長くなりすぎると一部フィードリーダーにうまく登録できないことがあります。例えばlivedoor Readerは255文字以上のURLを強制的に切り捨ててしまいます。そのような場合、自分はFeedJumblerを噛ませるようにしています(本来複数フィードを結合するツールですがTinyURL的に使うことも可能)。しかもLDRでは不可能なタイトル変更もできて一石二鳥です(2008/4/13追記)。

Hatebu Tag Killer G

上記のフィルタでhotentryのフィードを見ている分にはかなり快適になったのですが、実際には特定エントリのコメントページを開きたい場合も多々あります。実ははてなにログインすると非表示ユーザーの設定も可能らしいのですが、ユーザーでない自分はこの機能を利用することができません。というわけで同様の動作をGreasemonkeyで実現するスクリプトを書いてみました。

  • hatebutagkillerg.user.js Version 1.0.2 (2008/11/26公開) 公開終了しました
    (※右クリックで保存後に拡張子を"user.js"に変更してFirefoxのウィンドウにD&Dして下さい)

このスクリプトを導入することで個別のエントリページから指定した条件に一致するコメントを除去することができます。指定できるのは「はてなID」「タグ」「コメント文字列」の3つで、条件にはプレーンテキスト(完全一致)又は正規表現が使えます。条件を設定するには直接コードを開いて該当箇所を編集して下さい。例えば以下のように記述します。

更にコメント無しのブックマークを除去することもできます。その場合は変数killEmptyCommentsの値をtrueに設定して下さい(デフォルトでtrue)。またlogOutputをtrueにするとフィルタの適用結果がエラーコンソールに出力されます。

ちなみにコメント欄上部に追加される [show/hide] ボタンを押すことで除去されたコメントの表示/非表示を切り替えることもできます。フィルタに引っ掛かったコメントは背景色がピンクで表示されるので、これを逆に利用して敢えて特定コメントをウォッチしてみるのもなかなか面白いかも知れません(笑)。

更新履歴

2008/11/26 Version 1.0.2
  • はてなブックマークのリニューアルに対応
2007/06/17 Version 1.0.0
  • 公開