Categories: セキュリティ

その Wi-Fi 危険かも? 公衆無線 LAN に潜むセキュリティリスク

新型コロナウイルスによる生活スタイルの変化

新型コロナウイルス感染症(COVID-19)の影響で、私たちの生活はたった数ヵ月の間に大きな変化を遂げました。集団感染を防止する観点から、働き方ではテレワークや、学び方ではオンライン授業の実践などが促進され、多くの人が「新しい生活様式」を体験することとなりました。内閣府が 2020 年 6 月21 日に公表した「新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」によれば、何らかの形でテレワークを経験した人の割合は、全国で 34.6%、東京 23 区では半数以上の55.5% であることが報告されています。

 

また、教育機関においては、特に大学、大学院に通学する学生のうち 95.5% がオンライン授業を受講しており、非常に高い実施率となっています。

 

こういった、感染拡大の防止と社会経済活動の両立を図るための取り組みにおいては、これまで以上の  IT  技術の活用が想定され、政府の新型コロナウイルス感染症対策本部が決定した「新型コロナウイルス感染症に関する今後の取組」でも次のように大きくフォーカスされています。

「実用段階にある新技術を活用し、個人が「新しい生活様式」を 無理なく実践できるように支えるとともに、行政活動から社会経済活動にいたるまでデジタル化(デジタル・トランスフォーメーション:DX)を図るほか、新型コロナウイルス感染症対策、ポストコロナへの移行を突破口とし、新 たな技術開発・イノベーションを強力に推進する。」

出典: 新型コロナウイルス感染症対策本部「新型コロナウイルス感染症に関する今後の取組
(令和 2 年 8 月 28 日決定)

 

「新しい生活様式」の強力なサポーター、公衆無線 LAN

感染の拡大が終息するまでの間、ウイルスと共生していく「ウィズコロナ」対策において、場所を選ばずインターネットに接続できる無線 LAN (Wi-Fi)の活用は、3 密(密集、密閉、密接)を回避する有効な手段のひとつと考えられます。今後、「新しい生活様式」が定着していく中で、これまでの枠にとらわれない働き方、学び方、楽しみ方が提唱され、実践されていくことでしょう。外出先でのネット利用もさらに増加し、多様化すると思われます。駅や地下鉄構内、街角のコンビニやカフェなどで、誰もが使える公衆無線 LAN は、そのような新しい生活スタイルをサポートする強い味方となり得ます。

公衆無線 LAN は、増加する訪日外国人に対するサービス向上や、地域の活性化、災害時の情報伝達の手段としても有用であり、もはや観光、防災、街づくりに不可欠な社会基盤となりつつあります。デパートの混雑を避けて、お気に入りのカフェでお茶をしながらのオンラインショッピングや、自宅近所のレンタルオフィスでリモートワークと、便利に活用ができる一方で、やはり気になるのはセキュリティです。

総務省が行った公衆無線 LAN 利用者意識調査によれば、公衆無線 LAN 利用者の 65% 近くが不安を感じており、また未利用者が公衆無線 LAN を使わない理由のうち最も多いものがセキュリティ不安によるものでした(56.1%)。

日頃、何気なく使っているいつもの公衆無線 LAN は、本当に安全なのでしょうか?

 

公衆無線 LAN サービスの種類と潜在する危険性

では、まず公衆無線 LAN サービスをカテゴリー化し、それぞれに潜在するセキュリティリスクを整理してみましょう。公衆無線 LAN サービスは大きく、有料サービス、無料サービス、野良アクセスポイント(AP)によるサービスの3種類に分けられます。

公衆無線 LAN サービスの種類とセキュリティリスク

サービス種別 提供元 対象 通信の暗号化 ユーザ認証 セキュリティリスク
有料無線 LAN 無線/固定通信事業者 契約者のみ 有り ユーザ ID とパスワード要 比較的低い※
無料無線 LAN カフェ、交通機関、自治体など 不特定多数 無い場合も メールアドレスや SNS アカウントなど 中~高い(暗号化なしの場合極めて高い)
野良 AP 主に個人 不特定多数 不明 不明 極めて高い ←危険‼

※有料無線 LAN サービスでも、セキュリティリスクはゼロではありません。次項参照

有料無線 LAN サービス

例: docomo Wi-Fi (NTT ドコモ)、au Wi-Fi SPOT(au)、ソフトバンク Wi-Fi スポット(ソフトバンク)など

無線通信事業者や固定通信事業者が、契約者を対象に提供しているものです。これを利用するには、アクセスポイントの  SSID と暗号化キーの他、契約者のユーザ ID とパスワードが必要です。サービスの中には事前に「プロファイル」という設定ファイルをインストールさせることで、ユーザ ID やパスワードを毎回入力する必要がない、周辺のアクセスポイントを検索できる、といった高い利便性を提供するものもあります。また SIM カードを認証に使用するサービスも存在します。

無料無線 LAN サービス

例: at_STARBUCKS_Wi2(スターバックス)、7spot(セブンイレブン)、Metro_Free_WiFi (東京メトロ)、FREESPOT(FREESPOT協議会) など

カフェやコンビニ、交通機関、自治体等の事業体が、不特定多数の人々に対して無償で提供しているものです。ユーザ認証には、ユーザのメールアドレスや SNS アカウント等を利用します。ただし有料無線 LAN サービスのユーザ認証とは異なり、これによってユーザを特定することは不可能です。無料メールサービスに一時的にユーザ登録する、 SNS に偽名で登録する、といったことで、本人特定を逃れることが容易だからです。また通信を暗号化していないサービスも多く、安全性は必ずしも高いとは言えません。

野良アクセスポイントによるサービス(?)

個人が提供する無線 LAN です。アクセスポイントの設定はその所有者に任されており、適切な管理が行われているという保証はありません。例えば暗号化キーが設定されていないことは珍しくなく、設定されていた場合でも、店の電話番号や推測しやすい語呂合わせのケースが少なくありません。なかには管理者用パスワードがアクセスポイントの出荷状態のまま放置されており、簡単に管理者権限でアクセスできるものも存在します。野良アクセスポイントは、誰もが使えるようにと善意で設置されているものや、単に設定ミスで意図せず野良となっているものもありますが、最初から個人情報の盗用目的で提供されているものが少なからずあります。利用者側からは、そのどれに当たるか見分けることはできないため、危険性は極めて高いです。

危険だらけの野良アクセスポイント

 

覚えておきたい! 公衆無線 LAN 3 つのセキュリティリスク

では、公衆無線 LAN サービスのセキュリティリスクには、具体的にどういったものがあるのでしょうか。

盗聴

まず第1に挙げられるのは盗聴です。暗号化されていない無線通信は、その電波を受信できる端末を持つ人であれば、誰でも読み取ることができます。無料無線 LANサービスや野良アクセスポイントによるサービスのうち、暗号化されていないものはこのリスクが極めて高いと言えます。これに対して暗号化されている有料無線 LANサービスは安全性が比較的高いといえますが、暗号化キーを不特定多数のユーザで共有している場合には、暗号化キーを知っている第三者に通信内容を盗聴される可能性が残ります。SSID の暗号化キーをユーザ毎に設定することは困難なため、有料無線 LANサービスの場合でも、盗聴の危険性を完全に回避できるとは言えません。

そのため無線 LANサービスを利用する場合には、たとえアクセスポイントで暗号化されている場合でも、盗聴の可能性を常に意識すべきです。盗聴を回避するにはアクセスポイントの暗号化機能だけではなく、VPN 通信やサーバの暗号化機能を利用することを推奨します。例えば公衆無線 LAN サービスを使用する際は必ず VPN に接続する、Web サイトにアクセスする場合には、SSL で暗号化されたページ(URL の冒頭が「https://」となっているページ)に限定する、といったことを心がけることで盗聴のリスクを削減できます。メールの送受信を行う可能性がある場合には、設定時に SSL 接続方式を選択するといいでしょう。

AP のなりすまし

第2はアクセスポイントのなりすましです。悪意のある第三者が、正規サービスと同一の SSID と暗号化キーを設定したアクセスポイントを設置し、ここへのアクセスを誘導、通信内容を盗聴します。有料無線 LAN サービスのように、ユーザ個人を特定できる認証を行っている場合には、この段階で異常を検知できる可能性が高いため、被害を防ぎやすいと言えます。しかし不特定多数のユーザが自由に利用できるサービスでは、正規アクセスポイントとなりすましアクセスポイントとの見分けが難しいため、被害を避けるのは困難になります。

AP(アクセスポイント)のなりすまし

AP の乗っ取り

そして第3が、アクセスポイントの乗っ取りです。これによってアクセスポイントの設定が変更されると、セキュリティ上の問題が生じる可能性があります。

例えばアクセスポイントのほとんどは、接続した端末間の通信を禁止する機能を持っており、多くの場合デフォルトでこの機能が有効になっています。しかしアクセスポイントを乗っ取られてこの設定を無効にされると、端末間の通信が可能になり、他のユーザから端末にアクセスされる危険性が生じます。またアクセスポイントからアクセス可能なネットワークの設定を変更されてしまえば、内部システムにハッキングされる危険性もあります。

この問題を回避するには、サービス提供者側によるアクセスポイントの脆弱性への対応や、管理者用パスワードの適切な設定及び更新といった、堅牢化への対応が必要になります。

 

まとめ~今すぐ出来る公衆無線 LAN のセキュリティ対策

外出先でも、モバイル端末のパケットを気にせずにインターネットが利用できる、大変便利な公衆無線 LAN サービス。 その一方で、多くの人が利用する「公衆」のサービスであるため、こういったセキュリティ上のリスクが潜んでいることをよく理解しておかなければなりません。

ユーザ側は、非暗号化通信による盗聴リスクを常に念頭に置いておきましょう。たとえアクセスポイントの暗号化機能が有効になっていたとしても、その暗号化キーを知っているユーザが他にもいれば、盗聴の危険性はゼロにはなりません。VPN 接続を行う、SSL 対応の Web ページやメールサービスのみにアクセスする、といった対策を取ることで、リスクの低減が可能になります。公衆無線 LAN 使用中は、アカウントやパスワード、クレジットカード番号などの重要情報の入力が必要なサービス (オンラインショッピングなど) の利用は控えたほうが安心です。そして、ユーザ側がセキュリティの対策を行っている場合でも、提供者や管理状態のわからない野良 Wi-Fi を使うことは大きなセキュリティリスクを伴うため、回避することが推奨されます。

一方、サービス提供者側は、アクセスポイントやルータといったネットワーク機器を適切に運用し、パスワードの厳重な管理を徹底することが重要です。また、機器ファームウェアのセキュリティ更新には都度対応し、脆弱性への対策を確実にしておきましょう。

このように、ユーザ側、提供者側のそれぞれがリスクを正しく認識し、適切な対応を行うことで、トラブルに遭遇する可能性を大きく低減することが可能です。ウィズコロナの状況下、新しい生活スタイルを模索する中で、公衆無線 LAN の活用シーンはますます広がっていくと考えられます。私たちひとりひとりが、ウイルス感染拡大の防止に努めることはもちろん、セキュリティに関してもしっかりとした知識と意識を持って、安全で快適な公衆無線 LAN の活用を心がけたいものです。

 

関連するシスコ セキュリティ製品

安全な Wi-Fi ネットワークの構築と運用のため、シスコは最新の強力なセキュリティソリューションを提供しています。

Cisco Umbrella

働き方改革に必要なセキュリティを提供する、クラウド ベースのセキュア インターネット ゲートウェイです。簡単に導入が可能で、悪意のあるインターネット上の接続先からあらゆるユーザとデバイスを保護できます。

Duo Security

スマートフォンやトークンといった、パスワードに次ぐ「第二の要素」を用いたユーザ認証(多要素認証)を行い、アプリケーションへのアクセスを許可する前にデバイスの信頼性を確立します。企業データの安全性を損なうことなく、テレワークが可能になります。

 

 

吉川 沙代子

IT企業数社にてネットワークからクラウドまで様々な製品のフィールドマーケティングを経験したのち、2020年にシスコ入社。アジア太平洋地域(APJC)セキュリティ担当マーケティングとして活動中。