ขนาดวิดีโอ: 1280 X 720853 X 480640 X 360
แสดงแผงควบคุมโปรแกรมเล่น
เล่นอัตโนมัติ
เล่นใหม่
何もかもが正しい。普段モヤモヤしていたものを完璧に説明してくれました。素晴らしい解説だと思います。
コメントありがとうございます。甘口な解説はたくさんあるので、ギーク系でいっております。
投稿楽しみにしてました。大変勉強になり、自分の周りの人にも見てもらいたい内容でした。本編から一転して動画の最後に緩急を付けられる構成がとても好きです。
硬いお話だけでは伝わらないとおもったのですが、最後の部分の視聴者離脱がすごいと管理画面が言っています。。。
お久しぶりです。動画を楽しみにしていました。勉強になります。Macbook、吉田さんへメール、SSID名など笑わせて頂きました。
むむむ、捕捉率が高い!残りは一つで、1:29で吉田製作所の竹定規を購入しています。「そっちの吉田製作所かい!」というツッコミを期待しました。
竹定規は見落としてましたwツッコミできるように広い視野を持てるように頑張ります。
凄く良い動画ですねそして最後で不覚にも笑ってしまいました笑
ITエンタメをめざしております!
サイト立ち上げるときに何となく証明書発行してたけど改めて教えられると凄く理解できた
サイトの真正性証明は活かされるケースがすくないですけど、偽アクセスポイントではこれが頼りになりますね
うちの会社だとフリーWi-Fiとかの利用禁止をする最大の理由は、暗号化されていない通信の盗み見をされる可能性のほかに、ショルダーハックされる危険性のために禁止しています。いくら通信が暗号化されていても後ろから見られていたらなんの対策もできん・・・。あと会社のPCで私用の通信もしてほしくないですね。会社によっては通信のセキュリティのためにSSLインスペクションを行っている所もあります。会社PCに暗号通信解読用の証明書仕込んでるので私用の通信も中身が見えてしまう・・・。(もちろんそういった通信を見てなにかすることはないけど、なにかあったときに見てしまうことになる)
フリーWi-Fiを使わずに自前スマホテザリングを使ってもショルダーハックのリスクは全く下がりません。なので、ショルダーハックのリスクに対しては「(フリーWi-Fiだろうが自前Wi-Fiだろうが関係なく) カフェで仕事をしてはいけません。」とか「公共の場所で仕事をする場合は後ろが壁になっている席でしか行ってはいけません。隣の客と座席がつながっている場所もダメです。」というルールにする必要があります。
日本は警察官がコンビニでパン買ってただけで文句を言う人がいるから難しいですよね。私が以前いた組織で、SSLインスペクションが導入されたことがありました。驚いたのは「このような作業を進めます」というだけで、その目的やSSLインスペクションという説明がなかったんです。(私は目的を察しました)私は職場でのSSLインスペクションに反対ではないのですが、実際「あの時の出張旅費ふりこまれたかなあ」と、会社からオンラインバンキングしている人もいるなかで、説明なしのSSLインスペクション導入には驚きました。
@@pmakino もちろん業務用PCを外で使う際は、カフェやコワーキングスペース、電車内では原則NGを出しています。(災害や緊急ですぐに対応しないといけない場合は除く)まぁこういうルール作ってもなんで駄目ってしているかを理解してくれている社員はどんだけいるのやら・・・。周知しても俺は大丈夫とかいうわけわからん根拠でやる奴はぜったいいる・・・。
とても面白くて勉強になりました。これからも動画楽しみにしています。
ありがとうございます!エンジニアリングエンタメを目指しています。
詳しい動画をありがとございます。多くの人がフリーワイハイを利用するのは、やはり御自身のスマホ等の通信契約を無制限にせず数ギガ程度に設定していることに要因していることにあると感じますね。まだまだ日本はやっと安い契約が出始めていますが、大手キャリアはまだまだ高い印象ですね。スマホを始めとして家族全員の通信費を考える。飲食店等のフリーワイハイを使いたくなるのが人情でしょうかね。逆に飲食店側もフリーワイハイを店のサービスとして他店と差別化の一つにしているようにも感じますね。一方、電波の管轄官庁は、発信している文面からフリーワイハイは余り印象は良いとは考えていないようにも感じられますね。物価高、中小零細の給与上がらずの今日、どの家庭でもますます通信費も削りたいですからね。
コメントありがとうございます。スタバのwifiなんかは通信速度的にも問題ないですし、特殊な制限もないのでかなり便利に使えるんですよね。監督官庁としては立場上、安全に寄せた視点になるのかなと思います。
家族はここまでITに詳しくないので、絶対にしてはいけないことをしっかりと伝えておきました。
なぜ「絶対してはいけないのか」は少し難しいですが、とにかくあれをやらなければ情報は盗まれません!
32:41 ここから本編だぞ。みんなちゃんと見るんだぞ!
今までのは全て前菜だった...!?
尊敬する福山雅治さんが「みんなに音楽を聴いてもらうために俳優やりました」といっていたのですが、管理画面をみると最後の部分の視聴者が激減しております(泣)
実験する環境が無いからちょっと思いついたのがパスワード型で提供されていたとして、ステルスSSIDと通常SSIDが同じ名前でなおかつスマホにパスワードとSSID名が保存されている場合、これも電波が強い側に引っ張られるんですかね?ステルス側を優先されるとまた話変わりそう
なるほど。面白い観点ですね。端末の実装によると思うのですがおそらく、ステルス側はSSIDのブロードキャストをしないので、通常SSIDが常に優先される気がします。端末にSSIDが表示されている段階ではすでにどのAPに接続されるかが決まっていると思うので、それを選択した際に通常SSID側につながるかなと思います。
ITパスポートを取得して情報セキュリティマネジメント勉強していますが、ネットのセキュリティ認識は誰もが理解しておきたい分野ですね。
ビジネス面で考えてもセキュリティに関する機会は多くなってきているようです。
セキュリティに関してはあまり詳しくはないですが質問させてください。攻撃者のwifiから偽のサイトにアクセスしてアカウントを乗っ取られたり不正にログインされるパターンは被害者がその偽のサイトに対しIDやPasswordなどを入力した場合ですよね?(ログイン状態にするために必要な値)端末内のWEBブラウザが偽のサイトに対し既ログイン状態に必要な値(SSIDやtokenなど)が送信されること無いという認識ですが間違っていますか?
するどい質問ありがとうございます。「被害者がその偽のサイトに対しIDやPasswordなどを入力した場合ですよね?」>>その通りです。被害者が偽サイトに接続していることに気づかなかった場合は、ID、パスワードは簡単に盗むことができます。「端末内のWEBブラウザが偽のサイトに対し既ログイン状態に必要な値(SSIDやtokenなど)が送信されること無い」>>SSIDのようにブラウザではなく端末が管理している情報が盗まれることは、よほど大きなブラウザのバグが無い限りは起きません。このパターンは影響が大きいのですぐに世界的な大問題になります。問題なのはtokenの方になります。tokenはいろいろあるわけですが、重要なのはブラウザのクッキーという仕組みで管理されているセッションIDというものがあります。これが盗まれると例えば「アマゾンにログインしている状態」が盗まれます。10か月ほど前ですが、amazonの不正利用が話題になりました。二段階認証を設定している人も被害にあっているので、「アマゾンにログインしている状態」が盗まれた可能性が高いと思います。これはセッションIDを盗むことが必要なのですが、アマゾンのように厳格に構築されているサービスのサーバー側に大きな不具合がった可能性は低いかなと思っています。そこで、可能性があったのは今回の動画で紹介した偽サイト攻撃かと考えます。セッションIDにはsamesite属性が指定され、www.amazon.co.jpのセッションIDはwww.amazon.co.jpにしか送信されません。しかし、一部のブラウザにおいて、www.amazon.co.jpとwww.amazon.co.jpを同じサイト(samesaite)だと判定する挙動があるといわれています。そのブラウザを利用して、偽サイトにセッションIDを送付してしまった可能性があるわけです。
この攻撃についても、フリーwifiではブックマークしか利用しないことにより、必ずhttpsを使うようにすれば被害にあうことはありません。
返信ありがとうございます。利用者側は使用するWEBブラウザをニッチなものに限定する必要がありますね。
SNS認証部分は実際にIDpass詐取されてるケースがちらほらありますね。SNS認証で取得したアクセストークンってCaptivePortalにも引き継がれるんですかね?SAMLなんかだとブラウザ側にトークンが保持されていた記憶。いずれにせよ知識のないユーザーならSNS認証使わないのが吉なんでしょうけど。
WiFiの利用登録は何か問題があったときに利用者につながる情報を持っておくという建前だと思うのですが、真の攻撃者はmacアドレスから追われないように中古のスマホでも買ってくると思うので、実質的な意味がないと思うんですよね。マーケティング情報に使っているのかも。なにも聞かないスタバが正解かと
31:28 HTTPSで通信しているし、ドメイン名も表示されているから安全ですよね?
この場合はご指摘の通り本物なのですが、表示方法が独自でサファリのものでもないので、本当にhttpsで通信しているのか、単なる絵なのかの判定が困難です。さらにドメイン名が、fbook.comだったりするのを見抜くのは至難のわざかと思います。
@@TwoWheelJunkieその画面に絵を表示させたら鍵アイコンとアドレスが二重に表示されておかしなことになりませんか?
@@kskssk iPhoneの場合はそのようになると思います。それはiPhoneでキャプティブポータルがどのように表示されるのかを知っていから判断ができます。実際、私はアンドロイドでどのように表示されるのかは知らないので、絵なのかどうかは判断ができないです。もしかしたら機種ごとに違うかも?さらに、fbook.comが偽ドメインなのかについは今でも全く判断ができないです。すべてのユーザーがSNSの正式なドメイン名が何かを記憶していなければ危険にさらされる方式なので、全面的に廃止すべきとまじめに考えている次第です。
@@TwoWheelJunkie iPhoneしか使っていないのでアドレスが怪しくなければ問題なさそうですね。ありがとうございました。
偽サーバの自己証明書をPCやスマホにインストールされるリスクって少ないのでしょうか(偽サイトへのhttps通信でも警告を出させないようにする狙い)
なくはないとおもいます。が、攻撃者の視点で考えると、端末になにかをインストールできるチャンスがあるのであれば、キーロガーを入れるほうを優先すると思います。それによって、フリーWiFi以外の環境(例えば被害者の自宅)でも情報を盗み放題だからです。
@@TwoWheelJunkie 確かにそうですね。ありがとうございます!
こちらの内容とは関係ないですが、何故偽メールアドレス(ドメイン)は大量発行されるのでしょう?
インターネット黎明期は無料で無制限に取得できるメールアドレスはありませんでした。ですので、メールアドレスを利用することで、一人の人が大量に特定のサービスに登録することはできませんでした。そこにhotmailというサービスが登場して、無料メールアドレスをばらまき始めました。このサービスはのちにマイクロソフトに買収されました。今では大量の無料メールサービスがある状態です。メールアドレスの@より右がいわゆるドメイン名といわれる部分ですが、こちらは以下のxyzに該当する部分は無料では取得できませんので、無制限に取得している人はいません。(ちなみに、xyz.co.jpの取得には法人登記が必要なのでさらに信頼度は高いです。)xyz.co.jpxyz.com有料なので大量には取得できないのですが、xyz.comを取得するとabc.xyz.comのabcは自由に無料でいくつでも所有できることになります。ですので、ドメイン名を持っていても無条件に信用はできません。現在、日本においては「維持にコストがかかる=大量に保有できない=一定の信頼がおける」ものは携帯電話番号ですが、海外だとプリペイドSimの仕組みで無料で大量に電話番号を保有できるので世界的にみると電話番号を持っていても信用できません。
この人あたまよすぎるギリギリついていってるわ、、
今回のテーマは難しくて、今思うとあそこあこう言うべきだったとか思います。
最近、steamアカウント乗っ取られたからなんでだろうと思ってたらその前にブラウザの警告無視してサイトに入ってたわ
それは危険です!まれに真正サイトのサーバー側の証明書の有効期限が切れているだけの場合があるのですが、steamのようなメジャーなサイトでは怒らないので、偽物であった可能性が高いです。
9:311:27
謎が深まります
何もかもが正しい。普段モヤモヤしていたものを完璧に説明してくれました。素晴らしい解説だと思います。
コメントありがとうございます。甘口な解説はたくさんあるので、ギーク系でいっております。
投稿楽しみにしてました。大変勉強になり、自分の周りの人にも見てもらいたい内容でした。本編から一転して動画の最後に緩急を付けられる構成がとても好きです。
硬いお話だけでは伝わらないとおもったのですが、最後の部分の視聴者離脱がすごいと管理画面が言っています。。。
お久しぶりです。動画を楽しみにしていました。勉強になります。Macbook、吉田さんへメール、SSID名など笑わせて頂きました。
むむむ、捕捉率が高い!残りは一つで、1:29で吉田製作所の竹定規を購入しています。「そっちの吉田製作所かい!」というツッコミを期待しました。
竹定規は見落としてましたw
ツッコミできるように広い視野を持てるように頑張ります。
凄く良い動画ですね
そして最後で不覚にも笑ってしまいました笑
ITエンタメをめざしております!
サイト立ち上げるときに何となく証明書発行してたけど改めて教えられると凄く理解できた
サイトの真正性証明は活かされるケースがすくないですけど、偽アクセスポイントではこれが頼りになりますね
うちの会社だとフリーWi-Fiとかの利用禁止をする最大の理由は、暗号化されていない通信の盗み見をされる可能性のほかに、ショルダーハックされる危険性のために禁止しています。
いくら通信が暗号化されていても後ろから見られていたらなんの対策もできん・・・。
あと会社のPCで私用の通信もしてほしくないですね。
会社によっては通信のセキュリティのためにSSLインスペクションを行っている所もあります。
会社PCに暗号通信解読用の証明書仕込んでるので私用の通信も中身が見えてしまう・・・。
(もちろんそういった通信を見てなにかすることはないけど、なにかあったときに見てしまうことになる)
フリーWi-Fiを使わずに自前スマホテザリングを使ってもショルダーハックのリスクは全く下がりません。
なので、ショルダーハックのリスクに対しては「(フリーWi-Fiだろうが自前Wi-Fiだろうが関係なく) カフェで仕事をしてはいけません。」とか「公共の場所で仕事をする場合は後ろが壁になっている席でしか行ってはいけません。隣の客と座席がつながっている場所もダメです。」というルールにする必要があります。
日本は警察官がコンビニでパン買ってただけで文句を言う人がいるから難しいですよね。私が以前いた組織で、SSLインスペクションが導入されたことがありました。驚いたのは「このような作業を進めます」というだけで、その目的やSSLインスペクションという説明がなかったんです。(私は目的を察しました)私は職場でのSSLインスペクションに反対ではないのですが、実際「あの時の出張旅費ふりこまれたかなあ」と、会社からオンラインバンキングしている人もいるなかで、説明なしのSSLインスペクション導入には驚きました。
@@pmakino もちろん業務用PCを外で使う際は、カフェやコワーキングスペース、電車内では原則NGを出しています。(災害や緊急ですぐに対応しないといけない場合は除く)
まぁこういうルール作ってもなんで駄目ってしているかを理解してくれている社員はどんだけいるのやら・・・。周知しても俺は大丈夫とかいうわけわからん根拠でやる奴はぜったいいる・・・。
とても面白くて勉強になりました。これからも動画楽しみにしています。
ありがとうございます!エンジニアリングエンタメを目指しています。
詳しい動画をありがとございます。多くの人がフリーワイハイを利用するのは、やはり御自身のスマホ等の通信契約を無制限にせず数ギガ程度に設定していることに要因していることにあると感じますね。まだまだ日本はやっと安い契約が出始めていますが、大手キャリアはまだまだ高い印象ですね。スマホを始めとして家族全員の通信費を考える。飲食店等のフリーワイハイを使いたくなるのが人情でしょうかね。逆に飲食店側もフリーワイハイを店のサービスとして他店と差別化の一つにしているようにも感じますね。一方、電波の管轄官庁は、発信している文面からフリーワイハイは余り印象は良いとは考えていないようにも感じられますね。物価高、中小零細の給与上がらずの今日、どの家庭でもますます通信費も削りたいですからね。
コメントありがとうございます。スタバのwifiなんかは通信速度的にも問題ないですし、特殊な制限もないのでかなり便利に使えるんですよね。監督官庁としては立場上、安全に寄せた視点になるのかなと思います。
家族はここまでITに詳しくないので、
絶対にしてはいけないことをしっかりと伝えておきました。
なぜ「絶対してはいけないのか」は少し難しいですが、とにかくあれをやらなければ情報は盗まれません!
32:41 ここから本編だぞ。みんなちゃんと見るんだぞ!
今までのは全て前菜だった...!?
尊敬する福山雅治さんが「みんなに音楽を聴いてもらうために俳優やりました」といっていたのですが、管理画面をみると最後の部分の視聴者が激減しております(泣)
実験する環境が無いからちょっと思いついたのが
パスワード型で提供されていたとして、
ステルスSSIDと通常SSIDが同じ名前でなおかつスマホにパスワードとSSID名が保存されている場合、
これも電波が強い側に引っ張られるんですかね?
ステルス側を優先されるとまた話変わりそう
なるほど。面白い観点ですね。端末の実装によると思うのですがおそらく、ステルス側はSSIDのブロードキャストをしないので、通常SSIDが常に優先される気がします。端末にSSIDが表示されている段階ではすでにどのAPに接続されるかが決まっていると思うので、それを選択した際に通常SSID側につながるかなと思います。
ITパスポートを取得して情報セキュリティマネジメント勉強していますが、ネットのセキュリティ認識は誰もが理解しておきたい分野ですね。
ビジネス面で考えてもセキュリティに関する機会は多くなってきているようです。
セキュリティに関してはあまり詳しくはないですが質問させてください。
攻撃者のwifiから偽のサイトにアクセスしてアカウントを乗っ取られたり不正にログインされるパターンは
被害者がその偽のサイトに対しIDやPasswordなどを入力した場合ですよね?(ログイン状態にするために必要な値)
端末内のWEBブラウザが偽のサイトに対し既ログイン状態に必要な値(SSIDやtokenなど)が送信されること無いという認識ですが間違っていますか?
するどい質問ありがとうございます。
「被害者がその偽のサイトに対しIDやPasswordなどを入力した場合ですよね?」
>>その通りです。被害者が偽サイトに接続していることに気づかなかった場合は、ID、パスワードは簡単に盗むことができます。
「端末内のWEBブラウザが偽のサイトに対し既ログイン状態に必要な値(SSIDやtokenなど)が送信されること無い」
>>SSIDのようにブラウザではなく端末が管理している情報が盗まれることは、よほど大きなブラウザのバグが無い限りは起きません。このパターンは影響が大きいのですぐに世界的な大問題になります。
問題なのはtokenの方になります。tokenはいろいろあるわけですが、重要なのはブラウザのクッキーという仕組みで管理されているセッションIDというものがあります。これが盗まれると例えば「アマゾンにログインしている状態」が盗まれます。
10か月ほど前ですが、amazonの不正利用が話題になりました。二段階認証を設定している人も被害にあっているので、「アマゾンにログインしている状態」が盗まれた可能性が高いと思います。これはセッションIDを盗むことが必要なのですが、アマゾンのように厳格に構築されているサービスのサーバー側に大きな不具合がった可能性は低いかなと思っています。そこで、可能性があったのは今回の動画で紹介した偽サイト攻撃かと考えます。セッションIDにはsamesite属性が指定され、www.amazon.co.jpのセッションIDはwww.amazon.co.jpにしか送信されません。しかし、一部のブラウザにおいて、www.amazon.co.jpとwww.amazon.co.jpを同じサイト(samesaite)だと判定する挙動があるといわれています。そのブラウザを利用して、偽サイトにセッションIDを送付してしまった可能性があるわけです。
この攻撃についても、フリーwifiではブックマークしか利用しないことにより、必ずhttpsを使うようにすれば被害にあうことはありません。
返信ありがとうございます。
利用者側は使用するWEBブラウザをニッチなものに限定する必要がありますね。
SNS認証部分は実際にIDpass詐取されてるケースがちらほらありますね。
SNS認証で取得したアクセストークンってCaptivePortalにも引き継がれるんですかね?SAMLなんかだとブラウザ側にトークンが保持されていた記憶。
いずれにせよ知識のないユーザーならSNS認証使わないのが吉なんでしょうけど。
WiFiの利用登録は何か問題があったときに利用者につながる情報を持っておくという建前だと思うのですが、真の攻撃者はmacアドレスから追われないように中古のスマホでも買ってくると思うので、実質的な意味がないと思うんですよね。マーケティング情報に使っているのかも。なにも聞かないスタバが正解かと
31:28 HTTPSで通信しているし、ドメイン名も表示されているから安全ですよね?
この場合はご指摘の通り本物なのですが、表示方法が独自でサファリのものでもないので、本当にhttpsで通信しているのか、単なる絵なのかの判定が困難です。さらにドメイン名が、fbook.comだったりするのを見抜くのは至難のわざかと思います。
@@TwoWheelJunkieその画面に絵を表示させたら鍵アイコンとアドレスが二重に表示されておかしなことになりませんか?
@@kskssk iPhoneの場合はそのようになると思います。それはiPhoneでキャプティブポータルがどのように表示されるのかを知っていから判断ができます。実際、私はアンドロイドでどのように表示されるのかは知らないので、絵なのかどうかは判断ができないです。もしかしたら機種ごとに違うかも?
さらに、fbook.comが偽ドメインなのかについは今でも全く判断ができないです。すべてのユーザーがSNSの正式なドメイン名が何かを記憶していなければ危険にさらされる方式なので、全面的に廃止すべきとまじめに考えている次第です。
@@TwoWheelJunkie iPhoneしか使っていないのでアドレスが怪しくなければ問題なさそうですね。ありがとうございました。
偽サーバの自己証明書をPCやスマホにインストールされるリスクって少ないのでしょうか
(偽サイトへのhttps通信でも警告を出させないようにする狙い)
なくはないとおもいます。が、攻撃者の視点で考えると、端末になにかをインストールできるチャンスがあるのであれば、キーロガーを入れるほうを優先すると思います。それによって、フリーWiFi以外の環境(例えば被害者の自宅)でも情報を盗み放題だからです。
@@TwoWheelJunkie 確かにそうですね。ありがとうございます!
こちらの内容とは関係ないですが、何故偽メールアドレス(ドメイン)は大量発行されるのでしょう?
インターネット黎明期は無料で無制限に取得できるメールアドレスはありませんでした。ですので、メールアドレスを利用することで、一人の人が大量に特定のサービスに登録することはできませんでした。
そこにhotmailというサービスが登場して、無料メールアドレスをばらまき始めました。このサービスはのちにマイクロソフトに買収されました。今では大量の無料メールサービスがある状態です。
メールアドレスの@より右がいわゆるドメイン名といわれる部分ですが、こちらは以下のxyzに該当する部分は無料では取得できませんので、無制限に取得している人はいません。(ちなみに、xyz.co.jpの取得には法人登記が必要なのでさらに信頼度は高いです。)
xyz.co.jp
xyz.com
有料なので大量には取得できないのですが、xyz.comを取得するとabc.xyz.comのabcは自由に無料でいくつでも所有できることになります。ですので、ドメイン名を持っていても無条件に信用はできません。
現在、日本においては「維持にコストがかかる=大量に保有できない=一定の信頼がおける」ものは携帯電話番号ですが、海外だとプリペイドSimの仕組みで無料で大量に電話番号を保有できるので世界的にみると電話番号を持っていても信用できません。
この人あたまよすぎるギリギリついていってるわ、、
今回のテーマは難しくて、今思うとあそこあこう言うべきだったとか思います。
最近、steamアカウント乗っ取られたからなんでだろうと思ってたらその前にブラウザの警告無視してサイトに入ってたわ
それは危険です!まれに真正サイトのサーバー側の証明書の有効期限が切れているだけの場合があるのですが、steamのようなメジャーなサイトでは怒らないので、偽物であった可能性が高いです。
9:31
1:27
謎が深まります