「WannaCry」の次は「SambaCry」?:セキュリティクラスタ まとめのまとめ 2017年5月版(3/3 ページ)
2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ち切りとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)をにぎわしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。
無線LANタダ乗りは無罪だけれど、総務省としては有罪
4月に電波法違反には問えないと無罪判決が出ていた無線LANのタダ乗り。5月10日には東京地方検察庁が控訴しないことになり、タダ乗りの無罪が確定しました。これによって無線LANのアクセスポイント(AP)を勝手に使用するだけでは、現行法で罪に問うことが難しくなったようです。
これに反応したのが総務省。無罪判決を認めないかのように、5月12日、WEP形式で暗号化されたAPの暗号化鍵を解析する行為は、電波法第109条に抵触する可能性があると主張し始めます。WEPクラックするために必要なARP(Address Resolution Protocol)パケットを受信することが、通信の秘密を侵害しているということです。
これに対してTLではさまざまな意見がツイートされました。
鍵を抜く行為は違法だと思うという意見や、総務省の見解の方がしっくりくるという意見がありました。逆に司法で無罪だというのに行政が違法だというのはおかしいという意見、アクセスポイントから送信されるARPパケットは誰でも読めるようになっているのに通信の秘密でも何でもないという意見、さらには罪に問えるようにするための法改正が必要だという意見もツイートされていました。
WEPという簡単にキーを割り出すことが可能な古い暗号化形式を使っていたために乗っ取られたのだから、法律よりも、そもそもWEPを使ってはいけないと指摘するツイートもありました。
この他にも5月のセキュリティクラスタは次のような話題で盛り上がっていました。6月はどのようなことが起きるのでしょうね。
- Microsoftのマルウェア対策エンジンの脆弱性が公表、ユーザーにメールを送り付けるだけで攻撃できる
- JanetterのXSSで、ツイートにタグが書かれているとアラートが
- JPCERT/CC、jpcert.orgドメインを取り返す?
- 「サイバーセキュリティに関する総務大臣奨励賞」、piyokango氏が受賞する
- SELinuxがシステムで有効になっていると、完全な特権が得られるsudoの脆弱性が見つかる
- ホワイトハッカーを募集するサイト「SecHack365」のセキュリティに問題がある
- パスワードの定期変更、強制はダメ?
- 第21回サイバー犯罪に関する白浜シンポジウムが開催される
- 第2回セキュリティリサーチャーズナイトが東京で開催される
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.