2016年10月 1日公開

【連載終了】企業のITセキュリティ講座

【アーカイブ記事】以下の内容は公開日時点のものです。
最新の情報とは異なる可能性がありますのでご注意ください。

フリーWi-Fiは盗聴の危険性あり! スマートフォン・ノートパソコン利用のWi-Fi注意点

テキスト: ITジャーナリスト・三上洋

カフェや駅、ホテルなどでフリーWi-Fi=公衆無線LANが増えている。しかしフリーWi-Fiは、通信内容を他人に盗聴される危険性がある。フリーWi-FiやホテルのWi-Fiについての注意点と対策をまとめる。

【お知らせ】がんばる企業応援マガジン最新記事のご紹介

【利用状況】 フリーWi-Fi利用者が約3割に増加もセキュリティ対策は不十分

社員がノートパソコンを社外に持ち出して業務に使ったり、スマートフォンでメールをやり取りしたりすることが増えてきた。企業のノートパソコンやスマートフォンだけでなく、社員の個人スマートフォン・タブレットを業務で利用させるBYOD(Bring your own device)を採用する企業も多いだろう。

社外でのインターネット接続では、フリーWi-Fi=公衆無線LANが便利だ。フリーWi-Fiとは、誰でも接続できる公衆無線LANのことで、カフェや駅、ホテルや公共施設などに導入されている。特に最近では東京オリンピック・パラリンピックに向けた外国人観光客への「おもてなし」として、自治体・観光施設などがフリーWi-Fiを積極的に設置し始めている。

それに合わせフリーWi-Fiの利用者が増えている。情報処理推進機構(IPA)の調査によれば、フリーWi-Fiの利用者は2014年の8.8%から、2015年の28.7%と大きく増えた(無線LAN(Wi-Fi)を使ってスマートデバイスをインターネットに接続する方法アンケート調査:「2015年度情報セキュリティの脅威に対する意識調査」)。

特に旅行など観光先では、訪問先の公衆無線LANを利用する人が78.5%もいる(総務省「公衆無線LAN利用に係る調査結果」)。旅行先で会社のメールをチェックする社員もいるから、フリーWi-Fiで仕事のメールのやり取りが行われているかもしれない。

IPAによる「Wi-Fiを使ってスマートデバイスをインターネットに接続する方法」の調査結果グラフ

IPAによる「無線LAN(Wi-Fi)を使ってスマートデバイスをインターネットに接続する方法」の調査。28.7%の人がフリーWi-Fiを利用している。

それに対してセキュリティ対策は不十分だ。フリーWi-Fiの危険性は64.8%の人が知っているものの、実際に対策を行っているのは47.1%にとどまっている(総務省「公衆無線LAN利用に係る調査結果」)。危険だとは分かっているものの、無防備でフリーWi-Fiを利用している人が半数以上いることになる。

このフリーWi-Fiの危険性と対策について、IPAが「公衆無線LAN利用に係る脅威と対策」という注意喚起をまとめている。また企業向けには「無線LAN<危険回避>対策のしおり」としてWi-Fi利用全般の注意文書がある。これらを基にしてフリーWi-Fiの危険性と対策を見ていこう。

IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」

参照:IPA:「無線LAN<危険回避>対策のしおり」

目次へ戻る

【危険性】 フリーWi-Fiは盗聴の危険性。「なりすましアクセスポイント」も怖い

IPAではフリーWi-Fiでの脅威・危険性を、以下の四つにまとめている。

フリーWi-Fiでの脅威(IPAによる)

  • 1:盗聴

    →利用者の通信内容を他人がのぞき見

  • 2:なりすまし

    →登録が必要な公衆無線LANにおいて他人のアカウントになりすまして不正利用

  • 3:悪意のアクセスポイント

    →偽のアクセスポイントで利用者の通信内容をのぞき見

  • 4:不正目的でのインフラの利用

    →犯罪の足場としてフリーWi-Fiを利用

このうち社員の利用で怖いのは1の「盗聴」と、3の「悪意のアクセスポイント」だ。

まず1の盗聴では、ノートパソコンやスマートフォンの通信を、第三者がのぞき見・悪用する可能性がある。フリーWi-Fiの一部は、暗号化がされていない(鍵マークが付いていないWi-Fi)。空港や自治体施設などでは、利用者が簡単に利用できるようにと暗号化キーなしにいているところがあるのだ。Wi-Fiでの通信は、無線の出力範囲にいる全てのユーザーが受信可能であるため、誰でも簡単に盗聴できてしまうのである。

さらに鍵マークがついたものでも、フリーWi-Fiでは盗聴される危険性がある。と言うのはフリーWi-Fiのほとんどは、暗号化キーが公開されているからだ。

例えば、カフェのフリーWi-Fiのパンフレットを見てみよう。接続方法の案内にはWi-Fiの名前であるSSIDと、暗号化キー(パスワードと表示されている場合もある)が書かれている。ホテルや自治体施設などのフリーWi-Fiでも暗号化キーが公開されているほか、携帯電話会社のWi-Fiも暗号化キーはサイトに書かれている。

暗号化キーが分かると、通信内容を解読することは可能だ。一定の知識とツールがあれば、暗号化された通信でも盗聴できる可能性がある。フリーWi-Fiの多くは暗号化キーが公開されており、ユーザー全員で共通の暗号化キーを使うため、暗号化が無意味とも言えるのである。

3の「悪意のアクセスポイント」とは、悪意のある人物が自分で偽のWi-Fiアクセスポイントを作って、その場に持ち込む手法だ。この方法はセキュリティ会社が実際にデモンストレーションを行って注意喚起をしている(シマンテック・フリーWi-Fiの危険性についての記者説明会、7月13日)。

シマンテックによるフリーWi-Fiの危険性についてのデモンストレーションの様子

シマンテックによるフリーWi-Fiの危険性についてのデモ。右の利用者がスマートフォンで送信したメールを、なりすましアクセスポイントで盗聴できてしまっている。

このデモでは悪意のある人物がWi-Fiの親機(アクセスポイント)をカフェに持ち込む想定で行われた。悪意のある人物は公開されているフリーWi-FiのSSID・暗号化キーを、自分で用意したWi-Fiアクセスポイントにセットする。つまりそのカフェには「本物のフリーWi-Fi」と「悪意のある人物が持ち込んだ偽のWi-Fi」が二つあることになる。

利用者から見ると、この二つは全く同じものに見える。SSIDと暗号化キーが同じだからだ。多くの場合、電波が強い方に接続されるため、本物のWi-Fiではなく悪意のある人物による「悪意のアクセスポイント」につながってしまうことがある。

悪意のアクセスポイントにつながった場合、利用者の通信は全て悪意のある人物のパソコンを通る。通信内容を盗聴されてしまうほか、改変されてしまう可能性もある。シマンテックのデモでは「メールの内容を読み取られる」「ネットショッピングの内容を見ることができる」「偽サイトに誘導される」などの脅威が実演されていた。

仮に企業の社員が出先でフリーWi-Fiを使って「悪意のアクセスポイント」に接続してしまった場合、メールの内容が読み取られる可能性があるほか、見たウェブサイトの内容を把握される危険性もある。ブラウザーではSSLなどで暗号化されているものなら直接盗聴される可能性は低いが、接続するURLや表示される画像は暗号化されずに読まれてしまうため、内容を推測することもできるだろう。

目次へ戻る

【対策】 企業はフリーWi-Fiは使わない。どうしても必要ならVPNの導入を

このようにフリーWi-Fiでは、常に盗聴の危険性があるため、企業では原則としてフリーWi-Fiは使わない方がよいだろう。IPAによる対策を基に筆者の注意ポイントを加えて、企業におけるWi-Fi利用の安全対策をまとめる。

社員のWi-Fi利用での安全対策

  • 1:フリーWi-Fiは利用しない

    フリーWi-Fiは盗聴される危険性があるため使わない。業務のノートパソコン・スマートフォンはもちろんのこと、BYODのスマートフォン・タブレットでのメールチェックもしないこと。

  • 2:社外ではスマートフォンのテザリング利用か、自前の無線ルーターを

    社員が社外でインターネットを利用する場合は、スマートフォンではWi-Fiを使わずに携帯電話回線のみを利用させる。ノートパソコンやタブレットでは、スマートフォンのテザリング接続を使うこと(テザリング接続であれば盗聴の危険性はほぼない)。社外での業務利用が多いなら、携帯電話会社の無線ルーターを持たせるようにする。

  • 3:ホテルのWi-Fi・有線LANにも注意。利用するならVPNの準備を

    出張先のホテルでは、Wi-Fiはもちろんのこと有線LANにも注意する。悪意のある人物が他の部屋にいれば、通信内容が読み取られる可能性があるからだ。原則としてホテルのWi-Fi・インターネットは利用しないのが望ましい。どうしても使いたい場合は、共有フォルダを解除したうえで、VPNを通じて接続した方がいい。

プライベートのフリーWi-Fi利用では、メールチェックやネットバンキングは利用せずに、観光先の案内サイトを見る程度にとどめておきたい。仕事でどうしてもフリーWi-FiやホテルのWi-Fiを利用したい場合には、VPNが不可欠だ。

VPNの仕組み図

VPNの仕組み。インターネットの中に専用のトンネルを作る形で通信を保護する。

VPN(Virtual Private Network)とは、専用のトンネルを作る形でインターネット接続する仕組みのこと。暗号化されるため盗聴される危険性がほぼなくなる。社員の出張が多い部署では、セキュリティ会社などが提供しているVPNサービスを契約して社員に使わせることを検討しよう。

目次へ戻る

【お知らせ】がんばる企業応援マガジン最新記事のご紹介