無線LANのただ乗りに「無罪判決」の驚き:セキュリティクラスタ まとめのまとめ 2017年4月版(3/3 ページ)
2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱(ぜいじゃく)性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。
無線LANのただ乗りは罪にならない?
4月27日には他人の無線LANアクセスポイントの鍵を解読して勝手に使い、銀行のWebサイトに不正アクセスを行った事件の判決が出ました。この事件はいわゆる無線LANのただ乗りで検挙された初の事件だったため、注目を集めていました。
判決は不正アクセスを行った件に関しては有罪。ところが、ただ乗りについては電波法違反にはあたらないというもの。無線LANのアクセスに使う鍵は通信の秘密にはあたらないというのです。
どうして無罪となったのかということについて、TLではさまざまな意見が流れていました。無線LANのただ乗りを電波法違反で立件するのは無理があったという意見が目立ちました。電波法は盗聴など他人の通信を盗み聞きしたり、そこで得た情報を悪用してはいけないと定めています。ところが、通信手段を勝手に使うことについての定めがないというのです。
それを踏まえて新たな法整備が必要だという意見があった他、最近ではわざわざ他人のアクセスポイントを攻撃して鍵を得るまでもなく匿名でアクセスできるアクセスポイントが増えているのでいまさら遅いという意見、技術で防げるから必要ないという意見もありました。
無線LANのただ乗りが無罪ということばかりクローズアップされているけれども、不正アクセス禁止法としてはもちろん有罪なので、全て無罪だと勘違いしないようにしてほしいとの意見もありました。
この他にも4月のセキュリティクラスタは次のような話題で盛り上がっていました。5月はどのようなことが起きるのでしょうね。
- サイトを脆弱にするプロキシと「WordPress」を「ワールドプレス」に変えるプロキシ
- NSAが使っていたゼロデイ攻撃ツールが公開される
- 学生IDとパスワードを入力させる時間割管理アプリが危険
- 修正は投げ放しだったっぽいShopifyのmrubyのバグバウンティ
- 企業別の情報処理安全確保支援士、登録数ランキング公表される
- 税関職員が容疑者のIDを使い薬物取引サイトに不正アクセスして書類送検される
- 使用したパスワード履歴をシステム内で過去20回分記憶しているシステム
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.