公衆Wi-Fiサービスに潜む7つの危険性と回避策

街中やカフェ、公共施設などのあらゆる場所で、公衆Wi-Fiサービス(パブリックネットワーク)が提供される昨今、日々利用される方も多いかと思います。

そんな公衆Wi-Fiには、重大な問題を引き起こす危険性(リスク)が潜んでいることを、ご存知ですか？

この記事では、公衆Wi-Fiにおける注意すべき危険性について説明します。

多くの人は、公衆Wi-Fiのリスクに気づいていない

カスペルスキー社の調査によると、世界の公衆Wi-Fiスポットの4分の1は、暗号化されずにパスワードなしで利用できます。とはいえ、暗号化されていても決して安全とはいえません。

カフェやファミレスに足を踏み入れると、スマホを手にする客や、ノートパソコンを持ち込んで仕事をするビジネスマンを多く見かけます。

公衆Wi-Fiを利用するほとんどのユーザーは、スマホやノートパソコンなどのデバイス上に、多くの重要情報・機密情報を持っています。クラッカー(悪意あるハッカー、攻撃者)がその情報を入手すると、深刻な害を及ぼす可能性があります。

残念ながら、公衆Wi-Fiユーザーの大多数は、そのような脅威に直面していることを意識していません。

公衆Wi-Fiを安全に利用するためには、まずは潜在的脅威を把握する必要があります。どのような脅威があるか、みていきましょう。

1. 個人情報の盗難

最も一般的ともいえるのが、個人情報の盗難に関するものです。個人情報には、さまざまなものがあります。

• ログイン情報(ID/パスワード)
• 個人に関する情報(氏名、住所、電話番号など)
• 写真データ

例えば、ログイン情報を盗まれると、本人になりすまして通販サイトへログインされ、紐付けられたクレジットカードを不正利用されるかもしれません。

あるいは、ログイン先のウェブサービスから登録情報を抜き出したり、アカウントを乗っ取ったりされることもあるでしょう。

2. 暗号化されていない接続

SSL/TLS暗号化に対応するウェブサイトに接続すると、やり取りされるデータ通信は、安全なキー(鍵)を用いて暗号化されます。この状態で、キーを持たない第三者がデータ通信を傍受しても、内容を読み解くことはほぼ不可能です。

ただし、すべてのウェブサイトが暗号化に対応しているわけではありません。

アドレスバーのURLが「http://」で始まる場合には、データ通信は暗号化されていません。この状態では、次に説明するような手段で傍受され、内容が読み解かれてしまいます。

3. パケットスニッフィング(盗聴)

「パケットスニファー」などと呼ばれるツールを使用すると、公衆Wi-Fiの同じネットワーク内に接続していれば、暗号化されていないデータ通信をすべて読み解くことが可能です。

これはすなわち、暗号化に対応しないウェブサイトで、ログイン情報を入力したり、データをアップロードしたりすると、これらの中身は"丸見え"となります。

このツールは、本質的に悪いものではありません。本来は、ネットワーク上の問題解決やパフォーマンス改善などの目的に利用されるものです。しかし、クラッカーはこのようなツールを、本来とは異なる目的で悪用するのです。

4. 中間者攻撃

接続先のWi-Fiサービスが、常に"正規"とは限りません。

中間者攻撃は、正規の公衆Wi-Fiになりすまして、中間者の用意する"偽Wi-Fi"へ接続させる手法です。例えば、正規のものと思わせるような偽SSID(アクセスポイント名)を用意すれば、ユーザーは誤って接続してしまうかもしれません。

これで偽SSIDに接続されれば、クラッカーの"思う壺"です。

なんら問題なくインターネットを利用できますが、その接続中にやりとりされたデータ通信は、すべて傍受されます。ログイン情報などの重要データも、たちまち悪用される可能性があります。

5. セッションハイジャック

セッションハイジャックとは、第三者のアカウントを乗っ取る手法の一つです。先述したパケットスニッフィングや中間者攻撃は、この攻撃をも容易にします。

ウェブサービスへのログインに関する「セッション情報」を傍受されると、パスワードを知られなくとも、ログイン状態を再現されてしまいます。そこから、アカウントの登録情報を抜き出すことはもちろん、アカウント自体を乗っ取ることさえ可能となります。

6. マルウェアの配布

公衆Wi-Fiは、マルウェア(ウィルス、ワーム、トロイの木馬など)の配布に使われることもあります。

悪意を持つユーザーが同じ公衆Wi-Fiを使用している場合、適切に保護されていないと、コンピューターにマルウェアが仕掛けられる可能性があります。

例えば、公衆Wi-Fiを通じた接続中に、すべてのウェブサイトに広告を重ねることが可能です。同様の仕組みを悪用することで、マルウェアをインストールさえも可能とします。

7. 企業に対するサイバー攻撃

ほとんどの企業では、社外から業務端末を利用する際のリスクを軽減するため、あらゆるセキュリティー対策を講じています。とはいえ、公衆Wi-Fiを通じて業務情報をやり取りすることには、リスクを伴います。

多くの公衆Wi-Fiサービスは、無料で提供されています。その一方で、サービスを維持するためには、回線や電気などのインフラコストがかかります。それらのコストを捻出するために、Wi-Fi利用に関するデータを追跡し、第三者に提供・販売している可能性もあります。

そのようなデータから、情報漏洩が引き起こされ、企業への攻撃に悪用される可能性があることも認識しておくべきです。

公衆Wi-Fiの危険に晒されないために

ここまで、さまざまな脅威について説明しましたが、公衆Wi-Fiの利用には大きなメリットもあります。例えば、適切に敷設されたWi-Fiであれば、モバイル回線よりも高速かつ安定した通信を利用できます。
そこで、メリットを享受しつつ危険性から身を守るため、以下3点について注意すると良いでしょう。

A. 重要データはやり取りしない

プライベートなデータの共有や、機密性の高い情報のやり取りは避けましょう。場合によっては、モバイル回線と使い分けることも検討してください。

また、利用やブラウジングは最小限に抑え、必要な情報を入手したら、すぐに通信を切断します。通信時間の短縮は、リスクの低減に直結します。

B. VPNサービスを使用する

VPN(仮想プライベートネットワーク）サービスは、公衆Wi-Fiを介するものも含め、ネットワークで送受信するすべてのデータを暗号化します。Wi-Fiスポットやウェブサイトが暗号化に対応するかどうかに関係なく、もれなく暗号化されます。

従って、あらゆる危険性に晒されたときでも攻撃が成立せず、リスクが最小化されます。

C. 2要素認証(2FA/MFA)を使用する

機密情報を扱う多くのウェブサイトでは、2要素認証（2FA）や多要素認証(MFA)と呼ばれるセキュリティー機能が採用されています。これは、「第2パスワード」のように機能するトークン(その都度異なる文字列)を用いた二次認証方法です。

SMS(ショートメッセージ)や事前設定済みのスマホアプリ(Google Authenticatorなど)で表示されるトークンを、ID/パスワードに加えて入力させることで、より厳格な本人認証を可能とします。

クラッカーにID/パスワードを知られてしまった場合でも、トークンがなければログインできないため、乗っ取りや不正利用を防止します。

さいごに

公衆Wi-Fiサービスはとても便利ですが、あらゆる危険性が潜んでいて、セキュリティーリスクを伴うことについても認識しておく必要があります。

また、集客のために公衆Wi-Fiサービスを提供する施設・事業者にとっても、安全で快適なWi-Fi環境を提供するために、適切に導入できるパートナー(導入事業者)を選ぶ必要があります。