Free Wi-Fi(00000JAPAN)は安全なのか？

元記事

元記事を読んで恐くなり、災害用公衆無線LANの00000JAPANを含むFree Wi-Fiの使用を躊躇してしまった一般利用者個人のためにこの記事を書きました。
本記事では大雑把に元記事がどのようなリスクを指摘しているのか、そしてなぜそれを考えなくて良いのかを説明した後、情報セキュリティについて持論を述べる前に理解しておくべき点に触れます。

結論

正しくスマホやPCを使う限りFree Wi-Fiは危険ではありません。00000JAPANをぜひ活用してください。
これに同意した方とネタが嫌いな人はセキュリティクラスタは口が悪いまで読み飛ばしてください。

まだ心配な人のために暗号化の重要性を知っている専門家の見解を紹介します。

災害時無料公衆無線LANの利用がNHKで紹介され、Wi-Fi暗号化がされていないことから「クレジットカード情報やパスワードなどの入力は極力、避けるよう」と呼び掛けられているが、10年前と違い、WebのHTTPS化がほぼ完了し、アプリのHTTPS通信もマストになっている現在、それを避ける必要はありません。 https://t.co/roINLCLZQz

— Hiromitsu Takagi (@HiromitsuTakagi) January 2, 2024

ここで安心した一般利用者の方はブラウザを閉じて頂いて構いません。

元記事の翻訳（と元記事でも触れてないリスク）

元記事が気になって仕方ない方のために、ここからは元記事を大雑把に解説した上で補足します。

https が MITM を防げない理由

いきなり難しい単語が出てきました、これは「暗号化されたはずの通信が誰かに盗聴される場合がある」ということです。

• 不正な証明書が発行された場合
  証明書とは鍵のようなもので、暗号通信を開ける鍵だと思ってください。実際に証明書が不正に発行された事件は過去ありました¹。ひどい！
• 証明書を検証しない場合
  そもそも鍵（証明書）の正しさを確認しないアプリも存在します、意味ない！
• 不正な証明書を信頼してしまう場合
  不正な証明書を利用者がうっかり信頼（インストール）してしまうと、盗聴される状況下でも警告が出なくなります。ヤバイ！
• ユーザが警告を無視する場合
  ユーザが警告を無視すれば、盗聴される状況下でも通信はできてしまいます

Backend はブラックボックス

例えあなたのスマホやPCから相手のサーバまで安全に通信できたとしても、その先が安全とは限りません。

• 内部ネットワークの欠陥・人的セキュリティ
  あなたが利用しているサービスの社内通信が暗号化されておらず盗聴されているかもしれません。社内に悪意ある人がいた事により発生したインシデントは山ほどあります²、
• 脆弱性（ぜいじゃくせい=セキュリティに影響するバグ・欠陥）
  ここからは私の補足ですが、上のようなリスクまで考えるならここにも触れておくべきでしょう。企業が使用しているシステムにはしばしば重大な脆弱性があり、ハッカーに悪用され情報流出に至った事例が多数あります³。

Free Wi-Fiに限らず家庭内ネットワーク、企業内ネットワーク、モバイルネットワーク、インターネット、専用線、ダイヤルアップ、全てが・・・もうだめです！！！(´；ω；｀)

The Internet is dead(インターネットは 死んだ)⁴

元記事では代替手段について触れられていないので検討してみましょう。

• 電話・FAX・SMS
  アメリカ国立標準研究所（NIST）は電話とSMSを暗号化された通信とみなしていません⁵。SMS認証などもってのほか。 FAXも公衆電話網を使用するので同じです。
• 郵便
  毎年のように紛失・遺棄事故が発生してますね⁶。発送事故もあります⁷。
• 口伝
  人間はソーシャルエンジニアリング⁸に対して脆弱です。
  またMRIにより思考が解析される可能性がテキサス大学から報告されています⁹。アルミホイルで防げるかな？
• 物理セキュリティ
  関係者が外部と接触できないよう監禁しますか？　最高レベルのセキュリティを誇るはずのデータセンターであっても、許可されていない人物が侵入に成功した事例があります¹⁰。

こうなったら知る者全てをアゼリューゼ¹¹するしかありません。
しかしオレオールに辿り着くことで死者と対話できるとの情報¹²もあります。ソーシャルエンジニアリングにより死者から情報が漏洩するかもしれません。NDA締結したいけど魔導書がない

真面目な話、どこまで心配すればよいのか

セキュリティには「機密性」「完全性」「可用性」の要素があります。
「機密性」ばかりフォーカスして「可用性（サービスやシステムが利用できること）」を見失うと極端な結論に至ります。セキュリティに限らずですがゼロリスク思考では生きていく事すら困難です。

やりすぎは良くないがやらなすぎも良くない
デカけりゃいいってもんじゃないけど小さきゃいいってもんでもない
丁度いいバランスが大事¹³

理想と現実だいぶ違うから夢から醒めなさい
チョイスのセンスでその後の人生は大きく左右されます¹⁴
-宮崎吐夢

• 不正な証明書の発行
  "証明書を破壊する魔法"（Widerrufenがあります、前述の不正な証明書は実際に失効しました¹⁵。
  また証明書を管理する機関には極めて厳しいセキュリティレベルが求められており、信用を失った会社は倒産しました¹⁵。自浄システムは作動しています。

• 証明書を検証しないアプリやOS
  今時は悪意でもない限りその状態でリリースするほうが難しいので気にすることはありません。

• 不正な証明書のインストール
  この悪習はセキュリティ専門家達が10年近く罵倒啓蒙した結果、個人向けにはほぼ駆逐されました。企業内では現在も使っているところが多いのは確かですが、個人が気にすることではありません。理由は次で説明します。

• Backendはブラックボックス
  Backend(利用しているサービスの裏側)の脆弱性はサービス運営側の責任です、上述の不正な証明書のインストールを促すケースや証明書を検証しないアプリも同様です。個人でできる対策としては特商法やプライバシーポリシーの記載がおかしい、違法と思われる商品を扱うなどあからさまに怪しいサービスや、運営法人が海外で問題が生じたときに賠償が期待できないサービス¹⁶を避けると良いでしょう。Wi-Fi関係ないですけど。

• そもそも暗号化されてないアプリ・サービス
  不思議なことに元記事では触れられてませんが、Free Wi-Fiで真っ先に槍玉にあがるのはこのリスクです。しかし暗号化を使用していないサービスはほぼ絶滅しました¹⁷。あったとしても上述の通りサービス運営側の責任です。

• ついでに話題のVPN
  業務で会社指定VPNの使用が義務付けられている場合は使用するべきですが、いわゆる個人向けVPNサービスの多くは国内法が及ぶか分からない海外事業者で売り文句も胡散臭く、過去の報道¹⁸からも私は信用していません。前述の通り通信のほとんどはVPNを使わずとも暗号化されているだけでなく、VPNサービス内のデータの取扱や後述する出口ノードの安全性を確認するのは困難で、電気通信事業法で規制されている国内ISP¹⁹の方が信頼できます。

• じゃあTor
  プライバシー保護を全面に出していて、ある程度信頼できるサービスとしてTor²⁰があります。得体の知れないVPNサービスを使うぐらいならこちらの方がマシですが出口ノードが監視されている事が報道されています²¹²²。特別な事情か知識がない限り使わないほうがマシです。

httpsの安全性が損なわれるシナリオや過去に深刻な欠陥が存在したのは事実ですが、現存の暗号化通信手法として最も安全です。一般利用者の方は安心して使用してください。

それでも納得できないというならアルミホイルを巻いて部屋から出ない人生を送るのはあなたの自由ですが、それを拡めようとするならば次の章をどうぞ。

精度は99%だよ。残りの1%を見破った偉大な魔法使い達がいたからこそ歴史的な発見があったんだ。
-フリーレン

付いていく人達間違えたかな…
-ゼンゼ

ならば自宅や企業内Wi-Fiも暗号化しなくて良いのか

それは違いますが、長くなるのでここでは触れません。

『セキュリティクラスタは口が悪い』

セキュリティクラスタの多くはインフラとその先にいる人々の生活を守る使命感に燃えています。デマや誤解を招く極論をバラ撒く人や、無関係な人々にリスクを負わせるような事業者・開発者に対して口が悪くなるのは（露にしないことが望ましいにせよ）理解できます。特に今回の発端となった00000JAPANの是非は人命に関わる事態です。²³

「専門家以外がセキュリティについてSNSで話してはいけない」のではありません「知識のない人が間違った方向へ誘導されてしまわないよう、内容はもちろん表現にも十分注意しなくてならない」のです。²⁴たとえ顔見知りの専門家同士でも容赦なく槍の飛んでくる²⁵厳しい世界であり、刺した後もきちんと対応しようとすればインタビューにも応じてくれる²⁶優しい世界(?)でもあります。

元記事の人も悪意がある訳ではないと思うのですよね。

セキュリティ関係の話は、仕組みが多く、様々な可能性を検討しなくてはならず、見落としなく列挙するのが難しい。
各人が考える可能性を列挙した上で、皆で訂正し合いながら見落としのない最良の形を定義できると良いですね。

— 孝太郎 (@ko_taro__note_) January 7, 2024

専門家ほど弱い人達の事を考えている

知識でマウントを取るだけの人はセキュリティ専門家に向いていません。攻撃者は弱いところを突き、事故は弱いところから起きるため弱い人達のための対策を最優先に考えられなければならないからです。細かい所まで網羅した説明が求められる事もありますが、弱い人にも伝わり実践できるメッセージを発信する事も専門家のミッションです²⁷。

こういうスタンスは結局のところ利用者のためにならない。利用者に啓発したり規程を作成する業務に携わる予定のエンジニアは、これに共感せず、他山の石とすること。 https://t.co/oR0WZfuYOn

— Hiromitsu Takagi (@HiromitsuTakagi) January 4, 2024

プロの仕事を２つ紹介します。

• ウェブ健康診断仕様
  脆弱性の調査は小さな組織にとって予算的に厳しいし技術的にも難しい。そこで「ある程度知識があれば出来て、お金もかからず、最低限のテストをする方法」を多くの専門家が頭を捻って無料で公開しました。やさしい！誰が監修したんでしょうね²⁸
• 地方公共団体における情報システムセキュリティ要求仕様モデルプラン
  予算や人員に乏しい地方公共団体では協力会社に対して適切な要件定義も困難。そんな人向けに「これ渡しとけばだいたい安全だよ」と作られたテンプレです。こちらも優しさに溢れた専門家が監修しています。監修した方のお名前は巻末に記載されています。

おわりに

元記事で混乱してしまった方に気付いて欲しい、フリーレンネタを書きたいという一心で記事を書いていましたが、今見たところ元記事で混乱されていた方のコメントが全て消えていました、良かったです！！Qiita民反応早すぎ。

(1/9追記)元記事も修正頂きました、ありがとうございました。

もっと知りたい方はこんな得体の知れない記事より結論で紹介した出所のはっきりしている徳丸先生や高木先生、内閣サイバーセキュリティセンター²⁹あたりを見るべきです。

• この記事も含めてクレジットの不十分な文書を鵜呑みにしない(有名団体でも単独なら疑う)
• 古文書(概ね3年以上前)を鵜呑みにしない。できれば1年以内の情報を見る
• ブラウザやOSからの警告を読む。意味が分からないなら従う
• サポートが行われていないソフトウェアやOS(古いブラウザやWindows7、サポート期限の不明なスマホなど)の使用を避ける
• 明らかに信頼性の低いソフトウェア・サービスの使用を避ける
• WindowsでFree Wi-Fi接続時にプロファイルの選択肢が出た場合「パブリック ネットワーク」を選ぶ
• 危険とされている設定をリスクを理解せずに行わない

「単独なら疑え」と書きながら参照先に個人名を上げたのは、この方々はツイートが多数のプロフェッショナルに見られており、誤りを指摘された時も訂正を躊躇しないからです。

あ、なるほど、そういうことでしたか。びっくりしたー。フォール「バック」ですもんね。https://t.co/ALMmlxDHtc

— Hiromitsu Takagi (@HiromitsuTakagi) January 6, 2024

はてブへのコメント返し

はてブにメタブクマ以外で返信する方法を知らないのでこちらで返答します。（知ってたら教えてください、メタブクマだと本人以外に伝わりづらいので)

悪意を持った人間が「00000JAPAN」を立ち上げてDHCPで偽のDNSサーバーを指定していたらやられ放題になると思う。DNSだけはGoogle Public DNS(8.8.8.8)とかを静的に設定しておいた方が良いかも。

高木先生にもこの手のリプを送りつけた人が大勢無視されてましたが、違いますし意味のない対策です。しかし最も困るのは思いつきで人を惑わせるなという点を見落とされている事です。素人ではないようですので、この機会にhttpsについて勉強してみてはどうでしょう。面白いですよ！

修正ありがとうございます、後は他の方のコメントをご覧ください。

DigiNotarのはルート証明書が偽装されたのではなく不正アクセスにより不正な証明書が発行されたのが問題だし、証明書は暗号化とは直接関係ないよ。

修正しました、ご指摘ありがとうございます。論点が定まらないのは元記事準拠のためご容赦を

おことわり

• 一般利用個人向けに簡略な説明に務めました。業務用の場合は話が違いますので会社の指示に従ってください。補足や指摘は歓迎しますが一般利用個人に冗長な点は反映しない場合があります。冗長を気にするならネタを削れというのは無理です、死んでしまいます
• これは個人的な落書きです。執筆者の所属する団体の見解ではありません。

1. https://xtech.nikkei.com/it/article/COLUMN/20110917/368868/ ↩

2. https://www.security-next.com/category/cat191/cat25/cat173 ↩

3. https://www.security-next.com/category/cat177 ↩

4. https://www.youtube.com/watch?v=D5bOJT_HtUI ↩

5. https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html ↩

6. https://www.post.japanpost.jp/notification/pressrelease/2021/10_chugoku/0303_01_01.pdf ↩

7. デジタル庁からガバメントクラウドサービス提供事業者に選定されたさくらインターネットから他社宛の請求書を受け取ったことがあります（20年くらい前の話で責める気はありません） ↩

8. https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_staff_12.html ↩

9. https://gigazine.net/news/20230502-language-from-brain-ai-mri/ ↩

10. https://cafe-dc.com/other/pen-tester-breaks-into-data-center-via-piss-corridor-behind-toilets/ ↩

11. https://dic.pixiv.net/a/%E6%9C%8D%E5%BE%93%E3%81%95%E3%81%9B%E3%82%8B%E9%AD%94%E6%B3%95 ↩

12. 山田鐘人・アベツカサ (2020)『葬送のフリーレン（１）』小学館 、p.204。 ↩

13. https://www.youtube.com/watch?v=d0AaOS0IaGQ ↩

14. https://www.joysound.com/web/search/song/121623 ↩

15. https://jp.tenable.com/plugins/nessus/56043 ↩ ↩²

16. https://toyokeizai.net/articles/-/254027 ↩

17. https://transparencyreport.google.com/https/overview?hl=ja ↩

18. https://bestvpn.jp/purevpn-no-log/ ↩

19. インターネットを使う際に契約してるインターネットサービスプロバイダ。この記事を自宅から見てるならもう契約済みのはずです。 ↩

20. https://www.torproject.org/ ↩

21. https://wired.jp/2007/09/13/%E5%8C%BF%E5%90%8D%E5%8C%96%E3%83%84%E3%83%BC%E3%83%AB%E3%80%8Etor%E3%80%8F%E3%81%AE%E8%90%BD%E3%81%A8%E3%81%97%E7%A9%B4%E2%80%95%E2%80%95%E5%A4%A7%E4%BD%BF%E9%A4%A8%E7%AD%89%E3%81%AE%E9%80%9A/ ↩

22. この場合もhttpsを正しく使用していれば安全ですが、素人があえて使う理由もほとんどありません。IPアドレスを隠したい理由がありますか？僕はたまにありますが。 ↩

23. この記事も当初は元記事の訂正を願って多少配慮してましたが、絶対に間違い認めないマンだと気付いたので名指しで批判することにしました。 ↩

24. 質問の形でもググレカスレベルには冷淡だったり無視される事もありますが、ボランティアじゃないんだから。首相にメッセージ送ってから返事もらった人いないでしょ？ ↩

25. https://takagi-hiromitsu.jp/diary/20061104.html ↩

26. https://atmarkit.itmedia.co.jp/ait/articles/1006/25/news093.html ↩

27. 実現不可能な理想論を偉そうに講釈する専門家に教えを乞いたい人はいません。顧客が身の丈以上に難しいことをしようとした時「現在の状況では難しいから考え直した方がいい」と提案したり、根本的解決が難しい問題にリスク軽減策と残存リスクを提示することもあります。 ↩

28. https://xtech.nikkei.com/it/article/COLUMN/20090930/338142/ ↩

29. https://security-portal.nisc.go.jp/guidance/handbook.html ↩