文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    公衆Wi-Fiの危険性とセキュリティー

     東京オリンピックや日本への観光客増加に合わせ、公衆Wi-Fi(公衆無線LAN)の整備が進んでいる。しかしながら安全上の問題があるほか、犯罪に利用される可能性もある。(ITジャーナリスト・三上洋)

    押し寄せる観光客と公衆無線LANのセキュリティー

    • 都道府県における公衆無線LAN導入に向けた取り組み(総務省による)
      都道府県における公衆無線LAN導入に向けた取り組み(総務省による)

     個人的な話になるが、先日、旅行で出雲大社に行った。ホテルに着くとロビーとフロントに、団体と思われる中国人観光客がたくさんいる。それもスマートフォンを持って、フロントに押しかけているのである。

     なにかとおもったら「Wi-Fiはあるのか?」「Wi-Fiのパスワードはなにか?」「設定がわからない!」とホテルのフロントに聞いていたのだった。フロントにはWi-Fiのことがわかるスタッフがいなかったらしく、大きな騒ぎになっていた。似たシーンは出雲大社の近くのレストランでも繰り広げられていた。

     円安が進んだこともあって、日本への観光客、特に中国人旅行者が増えた。浅草や秋葉原へ行くと、海外からの観光客でうめつくされている状態だ。また2020年の東京オリンピックに向けて、訪日外国人が増えるだろう。

     そこで総務省、国土交通省(観光庁)、経済産業省などが、誰でも使える公衆Wi-Fi(公衆無線LAN)の整備を進めている。たとえば総務省や国土交通省では「観光・防災Wi-Fiステーション整備事業」として、地方公共団体に補助金を出しており、観光地や商店街などでの整備が進んでいる(参考「地方自治体における公衆無線LAN整備について(総務省)」)。これらの事業により、訪日外国人が無料で公衆Wi-Fiを利用できるシンボルマーク「Japan. Free Wi-Fi」をよく見かけるようになった。

    • JR東日本による公衆Wi-Fiサービス「JR-EAST FREE Wi-Fi」。訪日外国人向けの「Japan. Free Wi-Fi」のシンボルマークが付いている
      JR東日本による公衆Wi-Fiサービス「JR-EAST FREE Wi-Fi」。訪日外国人向けの「Japan. Free Wi-Fi」のシンボルマークが付いている

     たとえばJR東日本では、訪日外国人向けWi-Fiサービス「JR-EAST FREE Wi-Fi」を山手線内全駅に、4月末までに導入すると発表した(参考「訪日外国人のお客さま向け無料公衆無線LANサービス・山手線内全駅へのサービス拡大について〈JR東日本〉」)。

     しかしながら、公衆Wi-Fiには安全上の問題点がある。たとえば京都市による公衆Wi-Fi事業「KYOTO Wi-Fi」にはセキュリティー上の問題点があるとして、京都府警が改善を要望したと報道されている(参考「京都市の公衆WiFi『危険』 府警『犯罪インフラに』警告〈京都新聞〉」)。

    • 京都市のWi-Fi「KYOTO Wi-Fi」のウェブサイト。本人確認・暗号化なしでのサービスを12月にスタートさせている
      京都市のWi-Fi「KYOTO Wi-Fi」のウェブサイト。本人確認・暗号化なしでのサービスを12月にスタートさせている

     京都市の公衆Wi-Fiは2014年12月からエリアを拡大し、パスワードなし・登録なしで使えるシステムを導入した。以前のシステムはメールアドレスの登録が必要なものだったが、新たに始まったしくみではメールアドレス登録なしで使えるようになっている。メールアドレス登録は不便で、訪日外国人はそもそもネットにつなぐことができず、メールの受信ができないという事情からだろう。

     ところが利便性を優先するあまり、安全性がおろそかになってしまった。サイバー犯罪に利用される可能性があるほか、利用者の通信を盗聴される危険性があるのだ。

    問題点は「犯罪者の利用」と「通信の盗聴・改変」

     公衆Wi-Fi(公衆無線LAN)の安全上の問題点は、大きく分けて2つある。1つめはサイバー犯罪者の足場にされる危険性だ。

     誰でも簡単に使えるようにと、登録なしで使える公衆Wi-Fiが増えているが、匿名での接続になるため、サイバー犯罪者にとっては格好のツールになってしまう。ネット詐欺、企業へのサイバー攻撃などに利用されてしまうかもしれない。京都市の公衆Wi-Fiでは、メールアドレス登録なしで利用できてしまうため、犯罪者に利用された場合に発信元の特定が困難になる。

     今までの公衆Wi-Fiの多くは、事前の申し込みやメールアドレス登録、もしくは専用のアプリが必要であり、ある程度は本人確認ができていた。それにより犯罪抑止の効果があっただろう。しかしながら訪日外国人のためにと、本人確認をしない公衆Wi-Fiが増えており、犯罪に利用される可能性が高くなっている。

     2つめの問題点は、利用者のセキュリティー、つまり通信が盗聴される恐れだ。これについては、いくつかのポイントがあるので整理しておきたい。

    ★公衆Wi-Fiのセキュリティー上の問題点

    ●Wi-Fiのパスワードなし=暗号化なしでは盗聴される
     京都市の公衆Wi-Fiでは、パスワードなしの接続だった。無線での通信が暗号化されていないため、ある程度の知識があれば、簡単に内容を盗聴できてしまう。たとえば、表示したウェブサイト、メールの内容(暗号化なしの場合)などが、悪意のあるユーザーによって読み取られる可能性がある(SSL/TLSなどで通信そのものが暗号化されているもの=ブラウザーで鍵マークが付いたものは大丈夫だが、それ以外は盗聴されてしまう)。

    ●暗号化ありでも、パスワードが公開されているため盗聴の危険性あり
     では暗号化ありなら大丈夫かというと、そうではない。公衆Wi-Fiの場合、ほとんどが接続先のSSIDと、暗号化のためのパスワードが共通になっており、一般に公開されている。接続者の利便性を高めるためだが、暗号化の鍵が共通で公開されているので、ある程度の知識とソフトウェアがあれば、読み取ることは可能だ(参考「無線LANセキュリティ10の誤解(後編)(サイバーインシデント・リポート)」)。

    ●読み取られる危険性の低い暗号化もあるが、訪日外国人の利用は難しい
     盗聴される危険性の低い方式もある。たとえばEAP方式(Extensible Authentication Protocol)と呼ばれるもので、スマートフォンのSIM(携帯電話会社との契約データが入っているカード)から暗号鍵を作る方式なら、悪意のある人から読み取られる可能性はほぼない。また専用のアプリで安全性を高める方式もある。しかしながら訪日外国人は、国内で有効なSIMを持っていない、アプリのダウンロードがしにくい、などの事情から、実際に使うのは難しいことが多い。

    ●なりすましアクセスポイントの問題(中間者攻撃)
     公衆Wi-Fiでは接続先のSSIDと、暗号化のためのパスワードが公開されている。そのため犯罪者が同じSSID・パスワードを入力した「なりすましAP(アクセスポイント)」を作ることが可能だ。たとえば犯罪者がカフェへWi-Fiアクセスポイントを持ち込み、カフェのWi-Fiと同じSSID・パスワードを入れておけば、利用者が自動的に接続してしまう可能性がある。そうなると利用者のネット接続は、すべて犯罪者のアクセスポイントを通ることになり、盗聴が出来てしまうほか、内容を書き換えたり接続先を変更したりする中間者攻撃も可能になってしまう。

     このように公衆Wi-Fiには様々な危険性があり、パーフェクトに安全な公衆Wi-Fiを、万人に向けてサービスするのは難しい状況だ。

     これらの危険性を理解する一般ユーザーはあまり多くない。総務省による「公衆無線LAN利用に関する情報セキュリティ意識調査結果」によると、日本人は公衆Wi-Fiでの脅威への意識が低く、アクセスポイントでの暗号化、SSL通信の確認等の基本的な情報セキュリティー対策についても実施率が2~3割と極めて低かった。

    プリペイドSIMやレンタルルーター利用が便利で安全

     東京オリンピックに向けて、Wi-Fi整備が進んでいるが、ここまで紹介したようにセキュリティー上の問題点がいくつかあるため、安易な導入は避けるべきだと筆者は考えている。Wi-Fi普及を考えるよりも、訪日外国人向けにはプリペイドSIMや、レンタルWi-Fiルーターを提供したほうが現実的ではないだろうか。

     公衆Wi-Fiは、そもそもエリアが限られており、移動が多い観光客にとっては使いにくいものだ。1時間しかいない観光地でWi-Fiの設定をするのは面倒だろうし、エリアが狭いために歩いただけで使えなくなることもあるだろう。空港やホテル・カフェなど、観光客がとどまる場所での公衆Wi-Fiは有効だが、それ以外の商店街・観光スポットでの公衆Wi-Fiは、利用者が少ないのではないかと思われる。

     それよりも携帯電話会社によるモバイルネットワークを利用するほうが、観光客にとって便利だし安全だ。どこでもつながるモバイルネットワークであれば、移動する観光客にピッタリで使いやすい。またモバイルネットワークでの接続なら、無線でのセキュリティーの不安はほぼないと言える。

     日本ではMVNOによるプリペイドSIMも普及してきており、空港ではプリペイドSIMの自動販売機も登場している。また訪日外国人向けのレンタルルーター貸し出しサービスもある。セキュリティーの不安な公衆Wi-Fiを無理に普及させるよりも、プリペイドSIMやレンタルWi-Fiルーターを充実させる方向に持っていくべきだと筆者は考えている。どうしてもWi-Fiが必要な場所では、アプリダウンロードによる本人確認・暗号化を推奨してほしい。

     最後に私たちユーザーが公衆Wi-Fiを利用するときの注意ポイントをまとめておこう。

    1:鍵マークのないWi-Fiは利用しない
     暗号化のないWi-Fi、鍵マークのないものには接続しないこと。悪意のある人によるアクセスポイントの可能性があるからだ。

    2:暗号化のある公衆Wi-Fiであっても重要なデータはやりとりしない
     暗号化(SSIDの横に鍵マークがあるもの)されていても、上記のような方法で盗聴される危険性は常にある。暗号化されていないメールのやり取りはしない、クラウドの同期はしない、個人情報を入力するサイトを使わない、といった対策が必要だ。

    3:公衆Wi-Fiログイン後の、ウェブサイト認証に注意をする
     公衆Wi-Fiにログインすると、通常はウェブサイトでユーザー認証を求められる。このサイトが偽物ではないかどうかURLなどで確認する必要がある。なりすましアクセスポイントへの対策だ。

    4:できるだけスマートフォンのテザリングやWi-Fiルーターを利用する
     重要な通信を行う場合は、スマートフォンを通じたネット接続=テザリングを使うこと。もしくは携帯電話会社と契約してWi-Fiルーターを利用したい。

     公衆Wi-Fi利用での理想は、VPN(バーチャルプライベートネットワーク:Virtual Private Network)と呼ばれる仮想的な独自ネットワークを使うことだ。企業や官公庁のモバイル利用では、VPN利用が必須と言っていいだろう。個人での利用にはややハードルが高いので、上のポイントをしっかり守ることを心がけたい。

    2015年04月10日 15時49分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    2018年を彩るカレンダーをプレゼント!