2008-11-10

「WPA解読で360やPSPが危険に」というGIGAZINEの記事に思う、「WPA=TKIP、WPA2=AES」という誤解

先週金曜、GIGAZINEに「無線LANのセキュリティに危機?「WEP」に続いて「WPA」までも一部解読」という記事が出ていました。
曰く、WEPに続きTKIPも一部が解読されたと。Xbox 360やPSPといった「クレジットカード決済を利用可能でWPA2に非対応な機器」でのセキュリティ上の問題が懸念されているそうで。
――あれ? 「TKIPが破られた」んだったら、WPA(WPA1)の暗号化方式を(TKIPを使うのをやめて)AESにすればいいだけの話じゃない? 別にWPA2非対応機器でも問題ないのでは?(と思ってたら翌日、GIGAZINEの記事もちゃんとそう修正されていました)

こういう誤報が出てくる背景には、「よくある誤解」が関係していると考えられます。すなわち、無線LANのセキュリティというと、
1. WEP
2. TKIP=WPA
3. AES=WPA2
の3通りがあって、「WEPもTKIPも破られた→じゃあWPA2だ」――という勘違いです。

そう思って調べてみると、一見まともそうな解説記事でも、けっこう「WPA=TKIP」「WPA2=AES」と間違って説明していることが多いのに気付きました。

WPA2では、AES(Advanced Encryption Standard)アルゴリズムをベースにしたCCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)が認証とデータ暗号化に利用される。TKIPではWEPの場合と比べて無線トラフィックが非常に傍受されにくくなっているが、CCMP はRC4とTKIPの組み合わせよりも安全だ。ただし、CCMPはRC4より多くのプロセッササイクルを必要とするため、WPA2にアップグレードするには、APやクライアントをより性能のいいものに交換しなければならないかもしれない。
無線セキュリティ──WPAとWPA2の仕組み (TechTarget)
つまるところ、WPAとWPA2の違いは
・暗号化方式がRC4かAESか
・改竄検出がICVかMICか
ということで、TKIPやIEEE 802.1X/PSKに関しては共通となっています。
槻ノ木隆の「BBっとWORDS」その51「WPA2の仕組み」(インプレスBB Watch)

ニンテンドーDSiが対応する無線LANのセキュリティの種類
実際には、WPAでもWPA2でもそれぞれ、TKIPとAESの両方を選ぶことができます。例えばWPA2にも対応している「ニンテンドーDSi」のネットワーク設定画面では、ちゃんと
WPA (TKIP)
WPA (AES)
WPA2 (TKIP)
WPA2 (AES)
が選べるようになっています。(写真はBB WatchのDSiレポート記事より)

もうちょっと調べてみたら、Ciscoのサイトでそのへんのことがバッチリ解説されていました。
Q. What is WPA? How is WPA 2 different from WPA?
A. (略) Both WPA1 and WPA2 can use either TKIP or CCMP encryption. (It is true that some access points and some clients restrict the combinations, but there are four possible combinations). The difference between WPA1 and WPA2 is in the information elements that get put into the beacons, association frames, and 4-way handshake frames. (WPA1とWPA2の違いが具体的に説明されてるけど略)
Thus WPA1 plus AES is not WPA2. WPA1 allows for (but often is client side limited) either the TKIP or AES cipher.
※意訳:このように、WPA1プラスAESがWPA2となるわけではありません。WPA1はTKIPとAESの両方を使えます(クライアント側で制限されてることが多いけど)。

FAQ on Cisco Aironet Wireless Security

というわけで、「WPA=TKIP」「WPA2=AES」しか使えない無線APや端末があるというのが、こういう誤解を助長したのかもしれません。

ともかく、「WPA破られる」という話は(今回に関しては)実際には「TKIP破られる」に過ぎません。解決策としては「TKIPやめてAESにしましょう」でほぼ済んでしまうことが分かり、一安心。

「ほぼ」済む、と歯切れ悪く書いた理由は、古い無線LAN機器だと「AESには非対応でTKIPしか使えない」とか「AESも対応してなくはないけど、通信の速度がやたら遅かったり不安定になったり」という話も聞くからです。
そんな場合は、もう年貢の納め時と諦めて買い換えるのが吉かと。古い機械ということは、通信速度(理論値最大)54Mbpsの11g(または11Mbpsの11b)でしょうから、最近の300Mbpsの11nに買い換えると「無線LANってこんなに快適だったのか!」と目からウロコ間違いなしです。

と言いつつウチはまだ54Mbpsで、しかもWEPも現役だったりする(DSのため)のですが……。

2008-11-01

Sony Cardの退会手続きが電話だけで済んでしまった

Sony Cardというクレジットカードを持ってたんですが、さいきん使っていないので退会することにしました。
入会したのは何年か前、まだ「My Sony Card」という名前だった頃。手持ちのクレジットカードだとEdyにチャージしてもクレジットカードのポイントが付かないのに、「My Sony Card」ならEdyチャージでもポイントが付くと知って入会したのでした。年会費無料でしたし。

でも今年の春、コンビニでの払込票(収納代行)にEdyが使えなくなってから、めっきりEdyを使うことがなくなり、さらに「Sony Card」へのリニューアルで年会費がかかるようになった(※)ので、もう使うことはないなと退会することにしました。
(※年に1回でも利用すれば翌年の年会費は無料になるんですが、普段使いにはポイント還元率の高い別のカードを使うので……)

どうやったら退会できるのか調べてみたら、公式サイトには「コールセンターに電話して退会届を取り寄せ、必要事項を記入捺印してカードとともに返送」と書いてあります。
コールセンターの電話番号がフリーダイヤルではなくナビダイヤル(通話料がかかる)のが気に入りませんが、電話してみました。

これから退会するとは言え、クレジットカードの番号を口頭で告げるのはちょっとドキドキ。周りに人がいないところで電話することをオススメします。
本人確認のために氏名・住所・電話番号などいくつかの項目を言わされましたが、確認できたということで、この電話をもって退会手続きは完了とのこと。カードは自分でハサミを入れて処分すればよいそうです。書類も捺印も不要というのは拍子抜けでした。
なお、ハサミを入れる前に、Edyの残高があるなら使い切っておいてくださいとのこと。そりゃそうだ。
また、(こちらは電話口のお姉さんは忠告してくれませんでしたが)ポイントが貯まってるならそれも使い切っておきたいところです。

もう1枚、最近使ってないカードがあって、そちらも退会届けを取り寄せ中なのですが、一方で新しく入会したカードが2枚あるので総数は変わらないのでした。カード持ちすぎ?