フリーWi-Fiは盗聴の危険性あり！スマートフォン・ノートパソコン利用のWi-Fi注意点

テキスト: ITジャーナリスト・三上洋

カフェや駅、ホテルなどでフリーWi-Fi＝公衆無線LANが増えている。しかしフリーWi-Fiは、通信内容を他人に盗聴される危険性がある。フリーWi-FiやホテルのWi-Fiについての注意点と対策をまとめる。

【利用状況】フリーWi-Fi利用者が約3割に増加もセキュリティ対策は不十分
【危険性】フリーWi-Fiは盗聴の危険性。「なりすましアクセスポイント」も怖い
【対策】企業はフリーWi-Fiは使わない。どうしても必要ならVPNの導入を

【利用状況】フリーWi-Fi利用者が約3割に増加もセキュリティ対策は不十分

社員がノートパソコンを社外に持ち出して業務に使ったり、スマートフォンでメールをやり取りしたりすることが増えてきた。企業のノートパソコンやスマートフォンだけでなく、社員の個人スマートフォン・タブレットを業務で利用させるBYOD（Bring your own device）を採用する企業も多いだろう。

社外でのインターネット接続では、フリーWi-Fi＝公衆無線LANが便利だ。フリーWi-Fiとは、誰でも接続できる公衆無線LANのことで、カフェや駅、ホテルや公共施設などに導入されている。特に最近では東京オリンピック・パラリンピックに向けた外国人観光客への「おもてなし」として、自治体・観光施設などがフリーWi-Fiを積極的に設置し始めている。

それに合わせフリーWi-Fiの利用者が増えている。情報処理推進機構（IPA）の調査によれば、フリーWi-Fiの利用者は2014年の8.8％から、2015年の28.7％と大きく増えた（無線LAN（Wi-Fi）を使ってスマートデバイスをインターネットに接続する方法アンケート調査：「2015年度情報セキュリティの脅威に対する意識調査」）。

特に旅行など観光先では、訪問先の公衆無線LANを利用する人が78.5％もいる（総務省「公衆無線LAN利用に係る調査結果」）。旅行先で会社のメールをチェックする社員もいるから、フリーWi-Fiで仕事のメールのやり取りが行われているかもしれない。

IPAによる「Wi-Fiを使ってスマートデバイスをインターネットに接続する方法」の調査結果グラフ

IPAによる「無線LAN（Wi-Fi)を使ってスマートデバイスをインターネットに接続する方法」の調査。28.7％の人がフリーWi-Fiを利用している。

それに対してセキュリティ対策は不十分だ。フリーWi-Fiの危険性は64.8％の人が知っているものの、実際に対策を行っているのは47.1％にとどまっている（総務省「公衆無線LAN利用に係る調査結果」）。危険だとは分かっているものの、無防備でフリーWi-Fiを利用している人が半数以上いることになる。

このフリーWi-Fiの危険性と対策について、IPAが「公衆無線LAN利用に係る脅威と対策」という注意喚起をまとめている。また企業向けには「無線LAN＜危険回避＞対策のしおり」としてWi-Fi利用全般の注意文書がある。これらを基にしてフリーWi-Fiの危険性と対策を見ていこう。

IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」

参照：IPA：「無線LAN＜危険回避＞対策のしおり」

目次へ戻る

【危険性】フリーWi-Fiは盗聴の危険性。「なりすましアクセスポイント」も怖い

IPAではフリーWi-Fiでの脅威・危険性を、以下の四つにまとめている。

フリーWi-Fiでの脅威（IPAによる）

1：盗聴
→利用者の通信内容を他人がのぞき見
2：なりすまし
→登録が必要な公衆無線LANにおいて他人のアカウントになりすまして不正利用
3：悪意のアクセスポイント
→偽のアクセスポイントで利用者の通信内容をのぞき見
4：不正目的でのインフラの利用
→犯罪の足場としてフリーWi-Fiを利用

このうち社員の利用で怖いのは1の「盗聴」と、3の「悪意のアクセスポイント」だ。

まず1の盗聴では、ノートパソコンやスマートフォンの通信を、第三者がのぞき見・悪用する可能性がある。フリーWi-Fiの一部は、暗号化がされていない（鍵マークが付いていないWi-Fi）。空港や自治体施設などでは、利用者が簡単に利用できるようにと暗号化キーなしにいているところがあるのだ。Wi-Fiでの通信は、無線の出力範囲にいる全てのユーザーが受信可能であるため、誰でも簡単に盗聴できてしまうのである。

さらに鍵マークがついたものでも、フリーWi-Fiでは盗聴される危険性がある。と言うのはフリーWi-Fiのほとんどは、暗号化キーが公開されているからだ。

例えば、カフェのフリーWi-Fiのパンフレットを見てみよう。接続方法の案内にはWi-Fiの名前であるSSIDと、暗号化キー（パスワードと表示されている場合もある）が書かれている。ホテルや自治体施設などのフリーWi-Fiでも暗号化キーが公開されているほか、携帯電話会社のWi-Fiも暗号化キーはサイトに書かれている。

暗号化キーが分かると、通信内容を解読することは可能だ。一定の知識とツールがあれば、暗号化された通信でも盗聴できる可能性がある。フリーWi-Fiの多くは暗号化キーが公開されており、ユーザー全員で共通の暗号化キーを使うため、暗号化が無意味とも言えるのである。

3の「悪意のアクセスポイント」とは、悪意のある人物が自分で偽のWi-Fiアクセスポイントを作って、その場に持ち込む手法だ。この方法はセキュリティ会社が実際にデモンストレーションを行って注意喚起をしている（シマンテック・フリーWi-Fiの危険性についての記者説明会、7月13日）。

シマンテックによるフリーWi-Fiの危険性についてのデモンストレーションの様子

シマンテックによるフリーWi-Fiの危険性についてのデモ。右の利用者がスマートフォンで送信したメールを、なりすましアクセスポイントで盗聴できてしまっている。

このデモでは悪意のある人物がWi-Fiの親機（アクセスポイント）をカフェに持ち込む想定で行われた。悪意のある人物は公開されているフリーWi-FiのSSID・暗号化キーを、自分で用意したWi-Fiアクセスポイントにセットする。つまりそのカフェには「本物のフリーWi-Fi」と「悪意のある人物が持ち込んだ偽のWi-Fi」が二つあることになる。

利用者から見ると、この二つは全く同じものに見える。SSIDと暗号化キーが同じだからだ。多くの場合、電波が強い方に接続されるため、本物のWi-Fiではなく悪意のある人物による「悪意のアクセスポイント」につながってしまうことがある。

悪意のアクセスポイントにつながった場合、利用者の通信は全て悪意のある人物のパソコンを通る。通信内容を盗聴されてしまうほか、改変されてしまう可能性もある。シマンテックのデモでは「メールの内容を読み取られる」「ネットショッピングの内容を見ることができる」「偽サイトに誘導される」などの脅威が実演されていた。

仮に企業の社員が出先でフリーWi-Fiを使って「悪意のアクセスポイント」に接続してしまった場合、メールの内容が読み取られる可能性があるほか、見たウェブサイトの内容を把握される危険性もある。ブラウザーではSSLなどで暗号化されているものなら直接盗聴される可能性は低いが、接続するURLや表示される画像は暗号化されずに読まれてしまうため、内容を推測することもできるだろう。

目次へ戻る

【対策】企業はフリーWi-Fiは使わない。どうしても必要ならVPNの導入を

このようにフリーWi-Fiでは、常に盗聴の危険性があるため、企業では原則としてフリーWi-Fiは使わない方がよいだろう。IPAによる対策を基に筆者の注意ポイントを加えて、企業におけるWi-Fi利用の安全対策をまとめる。

社員のWi-Fi利用での安全対策

1：フリーWi-Fiは利用しない
フリーWi-Fiは盗聴される危険性があるため使わない。業務のノートパソコン・スマートフォンはもちろんのこと、BYODのスマートフォン・タブレットでのメールチェックもしないこと。
2：社外ではスマートフォンのテザリング利用か、自前の無線ルーターを
社員が社外でインターネットを利用する場合は、スマートフォンではWi-Fiを使わずに携帯電話回線のみを利用させる。ノートパソコンやタブレットでは、スマートフォンのテザリング接続を使うこと（テザリング接続であれば盗聴の危険性はほぼない）。社外での業務利用が多いなら、携帯電話会社の無線ルーターを持たせるようにする。
3：ホテルのWi-Fi・有線LANにも注意。利用するならVPNの準備を
出張先のホテルでは、Wi-Fiはもちろんのこと有線LANにも注意する。悪意のある人物が他の部屋にいれば、通信内容が読み取られる可能性があるからだ。原則としてホテルのWi-Fi・インターネットは利用しないのが望ましい。どうしても使いたい場合は、共有フォルダを解除したうえで、VPNを通じて接続した方がいい。

プライベートのフリーWi-Fi利用では、メールチェックやネットバンキングは利用せずに、観光先の案内サイトを見る程度にとどめておきたい。仕事でどうしてもフリーWi-FiやホテルのWi-Fiを利用したい場合には、VPNが不可欠だ。

VPNの仕組み図