機内Wi-Fiは安全か?

米連邦航空局とEUの同様の機関が規制を緩め、飛行機が離陸してから着陸するまでの間、ずっとコンピューターとモバイルデバイスを利用できるようになりました。ただし、離着陸時の機内Wi-Fiの利用、テキストメッセージの送受信、通話、メールは引き続き禁止されています。 飛行中の機内Wi-Fiネットワークへの接続は以前から許可されていました。しかし、今回の規制緩和によって、こうしたネットワークに接続する人が現在より増えるはずです。そこで、飛行機でのWi-Fi利用がそもそもどの程度安全なのかという疑問が浮かんできます。 私がインターネットセキュリティについて最初に学んだことの1つは、空港のワイヤレスネットワークには絶対に接続してはいけないということです。今では、セキュリティに関心の薄いインターネットユーザーでさえ、空港のWi-Fiが危ないということを理解しているように思えます。空港のWi-Fiがそれほど危険なのだとしたら、機内のWi-Fiがそれより安全なはずはありません。 機内Wi-Fiに接続するだけで、近くに座っている悪意のある乗客に通信内容を読み取られる恐れがあります 機内Wi-Fiの危険性について、Kaspersky Labのシニアセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)の考えを聞きました。 バウムガートナーは次のように述べています。 Wi-Fi自体にさまざまなセキュリティの問題があります。Wi-Fiアクセスポイントおよび接続デバイスを攻撃する手法は数多くあり、機内Wi-Fiに接続するだけで、近くに座っている悪意のある乗客に通信内容を読み取られる恐れがあります。 また、デバイスにぜい弱性がみつかるのは避けられないことですが、航空会社はWi-Fi機器を即座にアップグレードできるわけではありません。そのため、機内のソフトウェアやデバイスがぜい弱性を抱えたまま長期間使用される場合もあります。航空会社にとって、飛行機のソフトウェアとハードウェアのアップグレードが必要になったときに、フライトの合間にすばやく対応するのは簡単なことではないのです。 一部の航空会社のUSBポートと同様に、こうしたネットワークはリソースを適切に分けられるように設計されていない場合もあり、エンターテインメントシステムや、乗務員のアナウンスなどが混乱することがあります。 フライト中に電子機器を使用してはいけないという規則が、少なくとも多少はばかげていて、迷惑で、不便だということには誰もが同意するでしょう。しかし、一般的にいって、Wi-FiやBluetoothを利用した攻撃は、攻撃者が標的の近くにいるとはるかに実行しやすくなります。 さらに懸念すべきことかもしれませんが、世の中には頭のいい人がたくさんいます。このブログで紹介する研究者や、同様のサイトで毎日取り上げられている人々のことです。Black Hatなど著名なセキュリティカンファレンスの参加者もそうです。こうした人々は自動車をハッキングすることも、体内植え込み式医療機器をハッキングすることもできます。私は民間航空機のハッキングについてのレポートを少なくとも1本書きました。 こうした攻撃が仕掛けられるのは離れたところからですが、ほんのちょっとの距離です。なんとなくざっくり見積もって、ファーストクラスのキャビンからコックピットまでという程度でしょう(空を飛ぶだけでは怖さが足りないとでもいうのでしょうか)。しかし、まじめな話、機内Wi-Fiの利用は何年も前から許可されています。一番賢いやり方は、マルウェア感染やさまざまな攻撃を防ぐための対策に集中することかもしれません。飛行機での電子機器の利用が増えるにつれて、こうした攻撃に直面する可能性が高くなるからです。

機内wifi

米連邦航空局とEUの同様の機関が規制を緩め、飛行機が離陸してから着陸するまでの間、ずっとコンピューターとモバイルデバイスを利用できるようになりました。ただし、離着陸時の機内Wi-Fiの利用、テキストメッセージの送受信、通話、メールは引き続き禁止されています。

飛行中の機内Wi-Fiネットワークへの接続は以前から許可されていました。しかし、今回の規制緩和によって、こうしたネットワークに接続する人が現在より増えるはずです。そこで、飛行機でのWi-Fi利用がそもそもどの程度安全なのかという疑問が浮かんできます。

私がインターネットセキュリティについて最初に学んだことの1つは、空港のワイヤレスネットワークには絶対に接続してはいけないということです。今では、セキュリティに関心の薄いインターネットユーザーでさえ、空港のWi-Fiが危ないということを理解しているように思えます。空港のWi-Fiがそれほど危険なのだとしたら、機内のWi-Fiがそれより安全なはずはありません。

機内Wi-Fiに接続するだけで、近くに座っている悪意のある乗客に通信内容を読み取られる恐れがあります

機内Wi-Fiの危険性について、Kaspersky Labのシニアセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)の考えを聞きました。

バウムガートナーは次のように述べています。

Wi-Fi自体にさまざまなセキュリティの問題があります。Wi-Fiアクセスポイントおよび接続デバイスを攻撃する手法は数多くあり、機内Wi-Fiに接続するだけで、近くに座っている悪意のある乗客に通信内容を読み取られる恐れがあります。

また、デバイスにぜい弱性がみつかるのは避けられないことですが、航空会社はWi-Fi機器を即座にアップグレードできるわけではありません。そのため、機内のソフトウェアやデバイスがぜい弱性を抱えたまま長期間使用される場合もあります。航空会社にとって、飛行機のソフトウェアとハードウェアのアップグレードが必要になったときに、フライトの合間にすばやく対応するのは簡単なことではないのです。

一部の航空会社のUSBポートと同様に、こうしたネットワークはリソースを適切に分けられるように設計されていない場合もあり、エンターテインメントシステムや、乗務員のアナウンスなどが混乱することがあります。

フライト中に電子機器を使用してはいけないという規則が、少なくとも多少はばかげていて、迷惑で、不便だということには誰もが同意するでしょう。しかし、一般的にいって、Wi-FiやBluetoothを利用した攻撃は、攻撃者が標的の近くにいるとはるかに実行しやすくなります。

さらに懸念すべきことかもしれませんが、世の中には頭のいい人がたくさんいます。このブログで紹介する研究者や、同様のサイトで毎日取り上げられている人々のことです。Black Hatなど著名なセキュリティカンファレンスの参加者もそうです。こうした人々は自動車をハッキングすることも、体内植え込み式医療機器をハッキングすることもできます。私は民間航空機のハッキングについてのレポートを少なくとも1本書きました。

こうした攻撃が仕掛けられるのは離れたところからですが、ほんのちょっとの距離です。なんとなくざっくり見積もって、ファーストクラスのキャビンからコックピットまでという程度でしょう(空を飛ぶだけでは怖さが足りないとでもいうのでしょうか)。しかし、まじめな話、機内Wi-Fiの利用は何年も前から許可されています。一番賢いやり方は、マルウェア感染やさまざまな攻撃を防ぐための対策に集中することかもしれません。飛行機での電子機器の利用が増えるにつれて、こうした攻撃に直面する可能性が高くなるからです。

スマートテレビ

視聴者を監視するスマートテレビ

11月上旬、英国のハルを拠点にDoctorBeetというハンドルネームで活動している開発者が、LG製のスマートテレビが自分の個人情報を大量に収集していることに気付きました。 DoctorBeetがどうやってこのことを発見したか、簡単に説明しましょう。テレビに広告が表示されていることに気付いた彼は、少し調べてみたところ、LGの企業紹介動画を見つけました。噂によれば「気味が悪い」というその動画では、LGが自社の追跡機能を宣伝して、このサービスにお金を払う広告主を探していたとのことです。その動画はもちろん、すでに削除されています。 確かに、商品にお金を払わなくていいという場合は、利用する人が商品ということです。それは理解できますし、IT大手が(この件に関しては一部の政府機関も)消費者の行動を追跡していることは広く知られています。 行動追跡には一般的に明らかな倫理上の問題とプライバシーの問題があること、そしてLGのスマートテレビは間違いなくお金を払って購入されたという事実が無視されていますが、ここでの真の問題は、LGスマートテレビの追跡メカニズムを無効にする機能と関係してきます。特に問題はなさそうに見えるかもしれませんが、追跡機能は既定で有効になっている上、いわゆる「オプトアウト」(無効化)したとしても極めて巧妙にユーザーの情報を収集し続ける、と聞けばどうでしょうか。そう、「視聴情報の収集」を「オフ」にしても意味がないというのです。 追跡機能は既定で有効になっている上、オプトアウトしたとしても極めて巧妙にユーザーの情報を収集し続けます それに、オプトアウトのオプションは隠されていると言われても仕方ありません。DoctorBeetのブログ記事によると、追跡を無効にする機能は、メニューをかなり下の方までスクロールしないと見つかりません。さらに、メニュー内のほとんどの機能オプションは、各機能の説明が吹き出し状のヘルプに表示されますが、追跡を無効にするオプションにはこのような吹き出しのヘルプがありません。 LGのスマートテレビでチャンネルを変えるたびに、「ユーザーのお気に入りの番組、オンラインでのふるまい、検索キーワードなどの情報を分析して、対象の視聴者が関心のある広告を配信する」ための情報が送信されます。 先述の動画では、さらに次のように主張されていたといいます。「LG Smart Adを利用すると、男性にはおしゃれなスーツを、女性には魅力的な化粧品や香水を紹介することができます。さらに、広告の効果を測る実用的なレポート機能が多数用意されており、実際の広告効果を正確に把握できます。テレビ放送のCMではこうはいきません。」 この情報は暗号化されていない平文のテキストで送信されます。しかし、おそらくもっと重大な問題は、テレビに接続されたUSBメモリ内のファイル名情報も送信されていることをDoctorBeetが突き止めたことでしょう。 「ファイル共有サイトから成人向けのコンテンツやファイルをダウンロードしたことも、簡単にわかってしまうでしょう。USBを接続してクリスマスのときのビデオを見たのですが、ビデオのファイル名に使った子どもの名前も送信されているのを見て、妻はショックを受けました。」(DoctorBeet) DoctorBeetはLGに連絡してこの問題を伝えました。対応したLGの英国ヘルプデスクチームのメンバーからは、利用規約に同意したときにこのような情報収集にも同意している、という旨の回答が返ってきました。 この件に関してユーザー側にできることは?あまり多くありません。 DoctorBeetは自身のブログに次のように綴っています。「利用規約は読んでいませんが、1つ確かなことがあります。私には自前のルーターがあり、許可するトラフィックに関しては私が絶対的な権限を持っているということです。そこで、ブロックすべきインターネットドメインの最初のリストを作成しました。これでもって、私たち消費者が実際にお金を払ったテレビで行われるスパイ活動と広告をやめさせることができます。」 こうしたドメインは、ad.lgappstv.com、yumenetworks.com、smartclip.net、smartclip.com、smartshare.lgtvsdp.com、ibis.lgappstv.comです。ドメインをブロックするには、ルーターの管理インターフェイスにアクセスする必要があります。

スマートテレビ
ヒント