文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    メールも盗聴? フリーWiFi「なりすまし」の危険

     無料で使えるフリーWiFiが増えている。しかしフリーWiFiでは悪意のある人物によって、メールやサイト閲覧の内容が見られてしまう危険性がある。セキュリティー会社によるフリーWiFiでの情報漏えいデモをリポートする。(ITジャーナリスト・三上洋)

    「なりすましアクセスポイント」で通信が読み取られる

    • シマンテックのサイバーセキュリティ戦略マネージャーのニック・サヴィデス氏(左)とシニアマネージャーの古谷尋氏
      シマンテックのサイバーセキュリティ戦略マネージャーのニック・サヴィデス氏(左)とシニアマネージャーの古谷尋氏

     フリーWiFiとはレストランや公共施設、駅などにあって、誰でも接続できる無線LANのことだ。パスワードなし(暗号化なし)で利用できるか、ID(SSID)・パスワードが公開されているものが多い。

     フリーWiFiは全国で設置が進んでおり、特に2020年の東京オリンピックに向けて、外国人観光客への「おもてなし」として商店街や観光地などで導入が進んでいる(以前の記事「公衆Wi-Fiの危険性とセキュリティー:サイバー護身術」参照)。

     フリーWiFiは便利だが、安全性や犯罪利用が心配されている(以前の記事「フリーWi-Fi利用の危険性と注意点:サイバー護身術」参照)。そこでウイルス対策ソフト「ノートン」などでおなじみのセキュリティー大手・シマンテックが、7月13日にフリーWiFiについての記者説明会を開催した。

    • 市販の一般的なWiFiルーター(無線LAN親機)を利用。フリーWiFiと同じSSIDとパスワードを設定し、なりすましアクセスポイントのデモを行った
      市販の一般的なWiFiルーター(無線LAN親機)を利用。フリーWiFiと同じSSIDとパスワードを設定し、なりすましアクセスポイントのデモを行った

     シマンテックのサイバーセキュリティ戦略マネージャーのニック・サヴィデス氏がまず見せたのは、なりすましアクセスポイントだ。なりすましアクセスポイントとは、悪意のある人物が、フリーWiFiと同じものをカフェや公共施設に持ち込み、利用者のデータを盗み取ろうとするものだ。

     サヴィデス氏は「東京の家電量販店へ行き、40ドル(約4000円)のWiFiルーターを買ってきた。そこにフリーWiFiと同じID・パスワードを設定し、カフェに持ち込む。こうすると利用者のデータを盗み取ることができてしまう」として、実際のデモを紹介した。

     利用者はカフェで「ここには無料のWiFiがあるから接続しよう」と、自分のスマホでカフェのフリーWiFiのID・パスワードを設定する。しかし利用者のスマホから見ると、カフェのフリーWiFiと、悪意のある人物による「なりすましアクセスポイント」は区別がつかない。SSIDとパスワードが同じだからだ。

     ここで「なりすましアクセスポイント」につながってしまうと、利用者の通信はすべて悪意のある人物(犯人)のパソコンを通ることになる。通信内容の一部が読み取られるだけでなく、通信内容を改変したり偽サイトに誘導したりすることすらできてしまう。

    メールの内容や見たサイト・画像も犯人に知られてしまう

    • 右が仮想の利用者でスマホからメール送信。左の画面がなりすましアクセスポイントの画面で、通信内容の一部が読み取れてしまっていた
      右が仮想の利用者でスマホからメール送信。左の画面がなりすましアクセスポイントの画面で、通信内容の一部が読み取れてしまっていた

     デモではメールの内容を読み取ることもできた。スマホで送信したメールの内容が、犯人のパソコンで表示されてしまうというものだ。インターネットのメールは内容をそのまま送る平文(ひらぶん)の方式と、暗号化する方式の両方が使われている。平文だった場合、そのまま犯人に読み取られる。

     暗号化されていても、読み取られる可能性がある。サヴィデス氏が行ったのは、メールサーバーとのやり取りに使われるポート(データの出入り口)のうち、暗号化通信のポートを遮断するという単純な方法だ。こうすると暗号化しない平文の通信ポートで接続しようとするため、内容を読み取れてしまう場合がある(メールソフト、サーバーによって対応は異なる)。

    • ウェブ検索の例。右の利用者が画像検索をすると、犯人側(左の画面)でどんな画像なのか表示されてしまう
      ウェブ検索の例。右の利用者が画像検索をすると、犯人側(左の画面)でどんな画像なのか表示されてしまう

     また、ウェブサイト閲覧でも内容が読み取られてしまう。暗号化されていないサイトの例として、画像検索のデモが行われた。利用者がキーワードで画像検索し、画像を表示する。すると「検索キーワード」「画像」が犯人のパソコンで表示されてしまう。

     もしウェブサイトで鍵マークの表示があれば、SSLなどの暗号化がされているため、盗聴されることはないはずだ。しかしそれも万全ではない。

     サヴィデス氏はAmazonでの例を紹介した。「利用者がAmazonでショッピングしたとする。AmazonはSSLで暗号化されているので、文字の部分は盗聴されない。しかし画像は見えてしまうため、何を買ったのか、どこで買ったのかはわかってしまう」とのことだ。

    • ウェブメールでの表示例。ウェブメールは暗号化されているが、メール内の画像は読み取られるため、おおまかな内容がわかってしまうことがある
      ウェブメールでの表示例。ウェブメールは暗号化されているが、メール内の画像は読み取られるため、おおまかな内容がわかってしまうことがある

     文字の部分は暗号化されているので読み取られないが、画像はリンクで表示されているために犯人のパソコンで見られてしまう。同様のことはウェブメールでも言える。ウェブメールは暗号化されているが、メールの中にある画像はリンクなので、読み取られてしまう。本文はわからなくても、画像からおおよその内容を推測できてしまうわけだ。

     さらに偽サイトへの誘導も可能だ。たとえば利用者がいつも使う検索サイトに接続しようとした場合、犯人は途中で通信を改変し、まったく別のサイトに接続させることができる。犯人が用意した偽サイトへ誘導し、そこでウイルス感染させて、その後も情報を盗み取ることもできるだろう。

     このように「なりすましアクセスポイント」では、犯人のパソコンに接続することになるため、とても危険なものだ。サヴィデス氏は「今回のデモは複雑な手順やソフトは使っていない。ある程度の知識があれば構築できるだろう。フリーWiFiはID・パスワードが公開されているため非常に危険だ」とまとめた。

    対策:フリーWiFiでは重要な情報のやり取りはしない

     今回のデモは「なりすましアクセスポイント」のみであり、他にもWiFiの通信を読み取る盗聴や、偽のログイン画面でのウイルス感染などの危険性もある(以前の記事「フリーWi-Fi利用の危険性と注意点:サイバー護身術」参照)。

     安全対策としては、フリーWiFiではメールやログインが必要なウェブサービスは使わないことが基本になる。

    ●フリーWiFiの安全対策

    1:鍵マークのないWiFiは原則として使わない

     鍵マークがなく誰でも接続できるWiFiは、悪意のある人物が設置したWiFiの可能性がある。原則として接続しないこと。

    2:鍵マークがあっても重要な通信はしない

     鍵マークがあって、公式サービスとして提供されている(ように見える)WiFiであっても信用しないこと。メールは読み取られる可能性があり、暗号化されたウェブサイトでも上記のデモのように万全ではない。旅行先で観光サイトを見る程度にとどめておいたほうがいいだろう。

    3:万全を期するならVPNを使うこと

     インターネットの中で専用のトンネルを作るのが、VPN=仮想プライベートネットワーク(Virtual Private Network)だ。VPNであれば悪意のある人物による盗聴を防ぐことが可能になる。仕事で使う場合や、フリーWiFiでメールを使いたい場合は、VPNソフト・アプリをパソコンやスマホに入れたほうがいい。

     VPNは有料ソフト・アプリが多いため、無理に入れる必要はない。しかし出張が多いビジネスマンや、カフェなどでメールを多用する人は検討してもいいだろう。それ以外の人は、フリーWiFiの危険性を知り、フリーWiFiではメールやショッピングなどをしないことを心がけたい。

    参考記事

    フリーWi-Fi利用の危険性と注意点:サイバー護身術

    公衆Wi-Fiの危険性とセキュリティー:サイバー護身術

    2016年07月19日 11時09分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    ハウステンボス旅行など当たる!夏休み特集