こんばんは。今回は元日に見つけたセキュリティ関連ネタです。元日に某ホテルのランチバイキングに行きました。その際、エレベータに貼ってあった館内で使えるFreeWi-Fi案内の貼り紙でした。

 　注意書きについては一見ごく普通の内容ですが、その前提となる点に引っかかりました。ここではホテル名の特定につながりますので、敢えて隠しています。問題になってくるのは、ここで隠している「SSID」と「Password」です。SSIDは知らないとどうしようもないので、これはいいです。問題は「Password」です。事前共有鍵を使っているので、Wi-Fi接続するためには全ユーザで共通の文字列を「Password」として使う必要があります。これでは「端末と無線アクセスポイント間はWPA2を使っています！」と言われても、この「Password」を知っている館内利用者（宿泊客であるとは限らない）は接続出来てしまうわけですから、他の利用者の通信内容を覗こうとすれば覗けてしまうことが問題になります。

　気になった点は事前共有鍵ではなくて…

　…と、ここまではありがちなお話です。これを防ごうとするならば、IEEE802.1X認証でユーザ毎にアカウントを発行することになります。そこまで出来るだけのリソースがないのか、家庭内LANでのブロードバンドルータと同じような感覚で捉えていた（単に知らなかった）のかまでは分かりません。

　気になった点はそこではなく、「当施設は、本サービスに関するいかなる損害についても責任は負いません」という箇所です。ユーザが被害に遭って不利益を被った場合でも免責というのはいいです。

　が、サービスを提供したことにより、ホテル側が加害者サイド扱いされる場面も考えられます。不正アクセス目的で利用した場合、悪意はなくとも、マルウェア感染により知らない間に片棒担いでしまった場合もあり得ます。その場合、どのように対応するつもりなのかが読み取れませんでした。

　この貼り紙からは推測出来ませんでしたが、ちゃんとログを取っているのか、不正アクセスなどに利用された場合、ユーザの特定は可能なのか、事件が起きた場合に証拠提出を求められた場合、「何もしていません」だと、ホテル側の管理責任を問われてしまうのではないかと気になりました。

　このあたりの問題をきちんと考えずにサービス提供してしまっているケースが多いのではないかと気になりました。組織規模関係なく今一度考えておく必要があるのではないでしょうか。