eduroam接続時のサーバ証明書検証の重要性について
eduroamではIEEE 802.1xによる安全な接続を提供していますが、端末のeduroamへの
接続設定が特定の状態の場合、悪意のある人によりIDとパスワードを盗まれる危険性があります。
次の条件のいずれかに当てはまる場合は、パスワードなどを盗まれる危険性は低いため、
ご安心ください。
IDやパスワード等が盗まれる可能性が低い条件
1:eduroamに接続するときに、サーバ証明書の検証をする設定にしている
2:eduroam CATを使って接続設定をした
3:eduroamに接続するときの認証に、パスワードではなく、クライアント証明書を使っている
もし、上記のどれにもあてはまらない場合は、IDやパスワードが盗まれる可能性がありますので、後述の対策を実施してください。
特に、上記の条件にはてはまらず、以下の条件全てに明確に当てはまる場合、対策を行ってください。
IDやパスワードが盗まれる可能性がある条件
1:eduroamに接続するときの認証に、パスワードを使っており、かつ
2:eduroamに接続するときに、サーバ証明書の検証をおこなわない設定になっている
上記を満たす設定で、悪意のある攻撃者により巧妙に細工された偽のeduroam基地局などに接続してしまうと、パスワード等を盗まれることがあります。
対策
対策としては、eduroam CATの利用をお勧めいたします。所属機関がeduroam CATに対応していない場合は、OSごとのサーバ証明書検証設定方法をご参照ください。サーバ証明書の検証設定ができない端末の場合は、eduroam基地局マップに掲載されていない場所にある基地局にはつながないなどの自衛策をとりつつ、注意して接続してください。
eduroam CATの利用:
認証連携IDサービスや代理認証システムで発行されたアカウントをお使いの場合や、所属する大学等がeduroam CATのプロファイルを作成済みの場合は、eduroam CATにより、簡単にサーバ証明書を検証する設定ができます。
eduroam CATについては、以下のようにご利用ください。
Windows、Android:専用アプリがあります。
MacOS、iOS :ブラウザ経由で設定できます
- いずれのOSの場合も、以下のeduroam CATのサイトにアクセスし、利用するプロファイルを選択すると、適宜アプリのダウンロードやブラウザ上での設定手続が始まります。
eduroam CAT : https://cat.eduroam.org
- 選択するプロファイルは、eduroamアカウントを発行したのがどこかにより、異なります。
- 認証連携IDサービスのアカウント:Federated ID Serviceを選択
- パスワード認証の場合はMember Account Profile
- クライアント証明書認証の場合はMember Certificate Profile
- 代理認証システムのアカウント:DEAS(Delegate Authentication System)を選択
- 所属機関の発行したアカウント:リストの中から所属機関の英語名称があるかどうか探して選択
- 認証連携IDサービスのアカウント:Federated ID Serviceを選択
※リストに名前がない場合は、eduroam CATをお使いになれません。
- プロファイルのインストールが終わったら画面の指示に従ってIDとパスワードを入力
OSごとのサーバ証明書検証の設定(eduroam CATを利用しない場合):
Windows、MacOS、iOSの場合
初回の接続時に、認証用サーバのサーバ証明書を信頼するかどうかポップアップ等で確認されています。
このとき、信頼する、を選ぶなどしていれば、次回以降は自動的にサーバ証明書が検証されます。
もし、現在の設定の状態がわからない場合は、eduroamの接続設定を一旦削除し、再 度接続設定を行ってください。このとき、所属する大学等の信頼できるアクセスポイントで接続するようにしてください。
証明書を信頼するかどうか聞かれた場合は、サーバ証明書のホスト名を確かめた上で、信頼する、としてください。
信頼すべき証明書の情報については、所属する大学等のeduroam担当部署にお尋ねください。
認証連携IDサービスまたは代理認証システムで発行されたアカウントの場合、信頼すべき証明書情報は以下をご参照ください。
https://www.eduroam.jp/for_users/430
Androidの場合
こちらを参考に、サーバ証明書を検証する接続設定にしてください。
設定に必要なサーバ証明書の情報等については、所属する大学・研究機関のeduroam
担当部署にお問い合わせください。
サーバ証明書の検証設定を行わずにeduroamに接続する場合:
古い端末などでサーバ証明書の検証を行う設定ができない場合は、以下の点に注意してください。
- eduroam基地局マップを参考に、信頼できる基地局でのみ接続を行う
- 重要な情報のやり取りには使用しない
- パスワードや情報の窃取の可能性がある場合、所属する大学、研究所等の担当者に相談する