セキュリティ

誰も教えてくれなかったWi-Fiの秘密


こんにちは。有限会社デジタルムーン取締役、橋本です。
Wi-Fi(ワイファイ)について、SPREADセキュリティ勉強会で学んでこと、自分なりに調べたり考えたことをまとめました。

そもそもWi-Fi(ワイファイ)とは?

Wi-Fi(ワイファイ)とは無線でネットワークに接続する技術のことです。

家の中でも使われますし、お店やコンビニ、空港など公共の場で利用できる公衆Wi-Fi(ワイファイ)が増えていますね。

訪日外国人旅行者が最も困ったこと1位はWi-Fi(ワイファイ)環境の不備


日本にもWi-Fi(ワイファイ)スポットはかなり増えてきたのですが、有料だったり、事前に登録が必要な場合がほとんどです。観光客の立場からすると、IT環境はあるのに利用できないなんて・・・。不満トップになるのもわかります。
<参考資料>PDF:公衆無線LANの整備状況について(観光庁平成27年度)

日本のWi-Fi(ワイファイ)事情

Wi-Fi(ワイファイ)って話題になっていますが、実際に外で利用したことはありますか?
国内ユーザーは、携帯電話会社と回線契約しているので、スマホなら外でもインターネットに接続できるのは当たり前。しかもパケット定額制ならデータ量も気にしなくてもOK。最近はスマホからデザリングもできますし、無料公衆Wi-Fi(ワイファイ)の必要性を感じている人はそれほど多くないかもしれません。
それでも、海外出張のときや、外でパソコンを使うとき、パケット定額制にせず料金を節約したい場合、外でも動画を沢山ダウンロードしたい人にはWi-Fi(ワイファイ)はなくてはならないものです。

便利なWi-Fi(ワイファイ)増えています。

観光庁によると、2014年の訪日外国人旅行者数は1341万人。オリンピックも控え、ますます公衆Wi-Fi(ワイファイ)の需要が高まっています。政府は無料で手軽に外国人でも利用できるWi-Fi(ワイファイ)を表す共通シンボルマーク『Japan. Free Wi-Fi』を決定しました。これからますます手軽で便利なWi-Fi(ワイファイ)が増えていくでしょう。



<参考資料>日本政府観光局(JNTO)国籍/月別 訪日外客数(2003年~2015年)
<参考資料>訪日外国人旅行者向けの無料公衆無線LAN環境の周知・広報の強化に取り組みます~共通シンボルマーク(Japan. Free Wi-Fi)を決定

利便性と安全性、どちらが大事ですか?

日本人はどちらかというと安全性重視ではないでしょうか。しかし外国人旅行客にとっては簡単に使えなければ意味がありません。こういった背景もあり、便利なWi-Fi(ワイファイ)が増えきました。それに伴いメディアでは「Wi-Fi(ワイファイ)は危険!」という情報が多く発信されるようになりました。

Wi-Fi(ワイファイ)は本当に危険なのでしょうか?


つい最近スマホデビューしたママ友から
「Wi-Fiって危険なの?」って聞かれました。
一般の人でも気になるんですね。テレビやメディアでもWi-Fi(ワイファイ)の危険性について、特集されたりしていますね。

少し整理しながら考えてみましょう。

公衆Wi-Fi(ワイファイ)と野良Wi-Fi(ワイファイ)

まず、公衆Wi-Fi(ワイファイ)とは、お店や、空港、ホテルや地方自治体が行っている公式のサービスと定義します。一方、誰が提供しているのかわからない、いわゆる「野良Wi-Fi(ワイファイ) —正確には身元不明のアクセスポイント」というものは全く別物と考えます。ここをまず分けて考える事が大事なポイントです。

身元不明のアクセスポイントには絶対に接続してはいけません!


お店やホテル、公共のWi-Fi(ワイファイ)は接続IDやパスワードをお知らせしています。誰が提供しているか不明なアクセスポイントには絶対にアクセスしてはいけません。悪意を持ったアクセスポイントに接続してしまうと、いきなりウイルスファイルがダウンロードされたり、クレジットカード番号の入力を求めてきたり、勝手にデータを抜き取られる可能性があります。もし、あれ?と思ったらすぐにキャンセルして、接続しないようにしましょう。

公衆Wi-Fi(ワイファイ)は安全でしょうか?

実は、盗聴される可能性があります。

Wi-Fi(ワイファイ)は盗聴されるから危険!という記事が多いですね。
きちんとした公共のWi-Fi(ワイファイ)サービスであっても、電波が届く範囲にいれば、回線が暗号化されていても、比較的簡単に盗聴することは可能だそうです。

しかし!SSL を利用した https 通信なら安心です!



暗号化されていないWi-Fi(ワイファイ)を利用していても、https通信なら盗聴されても内容を見られる可能性は非常に低いと考えられます。
https://〜からはじまるURLになっていて、ブラウザには鍵マークが表示されます。SNSやショピングサイト、ネットバンキングなど、きちんとしたサービスではhttpsが当たり前になっていますね。クレジット番号や個人情報が盗まれないようになっています。ですからWi-Fi(ワイファイ)だから心配、というのはちょっと違うんです。
 (技術の世界では100%はないにしても高いレベルで安全と言えるものなのです)

パーソナルVPNという方法


Wi-Fi セキュリティ

Wi-Fi セキュリティ

httpsが利用できないサイトでも対策はあります。
個人向けの VPN サービスを利 用すれば、Wi-Fi(ワイファイ)を利用していても、通信を高度に暗号化できるのです。手軽に利用できるのもメリットです。

ところで、実際に盗聴されるリスクはどれぐらい?

攻撃者の立場で考えると、例えばスターバックスで盗聴を試みたとして、銀行やSNS、クレジットカード番号を入力するような重要なサイトはhttps通信なので中身を見る事ができません。人目や防犯カメラを気にしつつ長時間待機してデータを収集しても、高く売れるでしょうか?手間をかけてもお金になりにくい、いわゆる効率の悪い方法と言えます。それならフィッシング詐欺の攻撃の方が目的に叶っているかもしれません。
つまり、盗聴は可能でも実行可能性は低いと考えられるのです。

セキュリティを考える上で大事なのは、技術的に可能か否かだけに囚われるのではなく、実際に発生する頻度、背景などにも目を向けることです。

自動接続の問題

パソコン、タブレット、スマホなど多くの機器では、過去に接続したWi-Fi (ワイファイ)アクセスポイントに自動で接続する便利な機能があります。実はここに危険が潜んでいるのです。

一度利用したことのある、アクセスポイントなら安全?

Wi-Fi (ワイファイ)に接続するには、SSIDとパスワードを入力します。 
SSIDというのは、例えば福岡市のWi-Fiなら
「Fukuoka_City_Wi-Fi」といのがSSIDになります。
スタバなら「at_STARBUCKS_Wi2」
IDというより名称といったものです。
 
SSIDはアクセスポイントの識別名称なんですが、
全く同じ名称のもの、しかもパスワードも同じものが作れてしまうそうです。
SSIDもパスワードも本物と全く同じなので、ニセWi-Fi(ワイファイ)を以前接続したものと認識し、自動接続してしまうのです。
 
巧妙に作られたニセWi-Fi(ワイファイ)を見破るのは困難だそうです。

いくら自分で気をつけようと思っていても、スマホが自動で接続してしまったらどうしようもないですね。

ニセWi-Fi(ワイファイ)自動接続の対策

少し面倒ですが、Wi-Fi(ワイファイ)接続が終わったら、その都度、
接続設定を削除しておく事だそうです。
 
「以前接続したWi-Fi(ワイファイ)」の履歴がなければ
自動で接続もできない、というわけです。

公衆Wi-Fi (ワイファイ)を使わないという選択

インターネットを外で利用する場合

docomo au Softbank など契約しているキャリアの回線を使う。

Wi-Fi (ワイファイ)の設定がオフになっているか確認します。
キャリアの回線なら、セキュリティ対応が行われているので安心して良いでしょう。

モバイルルータを利用する。

プライベート IP アドレスを割り当てられる場合であれば外部からの攻撃はキャリア側で対策されており、回線の暗号化も最新の技術が使われているので、安心といえるでしょう。接続設定を購入時のままにせず、自分でSSIDとキーを設定する、接続できる端末を制限しておくとより安心です。

スマートフォンのテザリング機能(インターネット接続 共有機能)

キャリア回線を使うので、外部からの攻撃はキャリア側で対策されており、回線の暗号化も最新の技術が使われているので安心といえるでしょう。

Wi-Fi(ワイファイ)のセキュリティ対策まとめ

  • 不明なWi-Fiには接続しない。(絶対に!)
  • httpsを利用する。(利用できるサイトでは)
  • パーソナルVPNを利用する。(気密性の高いデータをやりとりするとき)
  • 接続先は毎回確認する。(心がけ)

一般的なセキュリティ対策

  • OS を最新の状態に保つ(アップデートはしましょう)
  • セキュリティ対策ソフトを導入する。
  • ニセサイト、フィッシング詐欺に注意する。(実はかなり多いです)

クレジットカード番号の入力フォームや銀行の乱数表を入力する画面がいつもと違う場面で表示されたら要注意です。何かおかしいと感じたら絶対に入力しないようにしましょう。
 FacebookやTwitterのバナー画像をクリックする事で、簡単にログインできる便利なサービスが増えています。これ自体は問題ではないのですが、バナー画像をクリックするのではなく、IDとパスワードを入力させるフォームが出てきたら要注意です。全く関係のないサイトで、FacebookのIDとパスワードを入力してしまい、アカウント情報が盗まれる可能性があります。

何か違う?と感じたら一旦ストップする事が大事です。

セキュリティは正しい知識を得ることが大切です

一般的なセキュリティ対策を行っていれば、まずは安心です。
メディアで怖い!危険!という記事を目にすると恐ろしくなってしまいますが、
むやみに怖がる必要はありません。自分にできことから始めましょう。

正しい知識を得るためには、SPREAD(セキュリティ対策推進協議会)のサイトがおすすめです。



SPREAD セキュリティ対策推進協議会
SPREAD facebookページ
スプレッド事務局facebookページ

【SPREAD(セキュリティシステム対策推進協議会)勉強会】
(2015年6月13日 東京、福岡で開催されました。)
<プログラム>
①講演「誰も教えてくれなかったWi-Fiの秘密」
   講師 淵上 真一 氏 (学校法人KBC学園 国際電子ビジネス専門学校 副校長)
②プライベートVPNを体験してみよう
   講師 唐沢勇輔 氏 ソースネクスト株式会社 
福岡サテライト会場:ユニティソフト株式会社