混雑する駅や空港、カフェ、レストラン……東京2020オリンピック・パラリンピック競技大会開催にむけて街がどんどん変貌していくなか、全国のこうしたスペースに広がっているサービスがある。
そう。フリーWi-Fi。公衆無線LANというサービス。
このフリーWi-Fi/公衆無線LANの現状と問題点、そして対策について、あの三上洋 ITジャーナリストが、Webrootセキュリティソフト新製品発表会(都内開催)で講演。
テレビやラジオをはじめ、メディアに出演しない日はないほどいま大人気の三上さんが特別講演を行うってことで、会場は専門メディア記者などで満員。
絶え間なく出てくるWi-Fiセキュリティ事情トピックスに、来場者は釘付け。最後に「不正なVPNは避け、正式にリリースされているVPNの活用を」と伝えた。
その怒涛の単独トークセッションを、とりあえず最初からだーっと巻き戻してみよう。
通信傍受、不正アクセス、なりすまし……いろいろやられてる!
まず、フリーWi-Fiの問題点について。悪意のある第三者は、アクセスポイントと利用者の間に入り込んでの通信傍受や不正アクセスを試みる。
また、正規利用者になりすましてサービスを不正利用したり攻撃を行う。さらに、不正なアクセスポイントを設置し利用者の接続を誘い込み個人情報などを盗み取るという。三上さんは出だしから猛烈スピードで事例をこう紹介。
「カフェの店内にWi-Fiルーターを入れれば、偽アクセスポイントをキャッチできちゃう」「自動接続にも問題がある」「Wi-Fiに接続して Outlook に入り込むこともできる」「Wi-Fiルータの脆弱性が指摘されてる。IoTの攻撃はまずWi-Fiルータを攻撃する」「アジアの高級ホテルで起きた事例では、VIPの個人情報を盗んだり、Facebookアカウントを乗っ取るというケースもあった」
穴だらけ! 暗号化キーなしのフリーWi-Fiスポットがいっぱい
三上さんは、フリーWi-Fiのなかにはいまだに暗号化キーがないスポットもあると指摘。
「暗号化キーなしで運用しているスポットが、自治体だけでも半数以上、空港で7割ちかくもある」
また、通信傍受については、Wi-Fiの認証方式によって違いがあるとも。
「WEPはかんたんに解読可能、WPAはTKIP解読可能、WPA2は2017年のKRACK攻撃で根本的な脆弱性が発覚、WPA3でも2019年に脆弱性が発見された」
「Wi-Fiファインダーのデータがクラウドに公開されていたことがある。フリーWi-Fiだけじゃなくて、自宅のWi-FiなどのSSID、暗号化キーなども表示されていたという疑いすらある」
スマホアプリの半数以上が暗号化されてないという事実
また三上さんは、データが暗号化された通信でも「完璧ではない」と指摘。ドメイン名は暗号化できないため、利用者が銀行やショッピングサイトなどにアクセスしたという情報は、悪意のある第三者にはわかってしまう。
「さらにスマートフォンアプリでは、アプリが通信を暗号化してるかどうかも未知数。世の中の半数以上のアプリが暗号化されてないという調査結果もある」
「たとえば、被災地や避難所で設置される無料Wi-Fiは、暗号化されてないため通信傍受の穴だらけ。こうした無料Wi-Fiスポットに、偽アクセスポイントが仕込まれると怖い」
企業利用やプライバシーを重視するなら慎重に
こうしたフリーWi-Fiの問題点があることを知ったうえで、「企業利用やプライバシーを重視するなら慎重に」と三上さんは伝える。
「フリーWi-Fiは公衆無線LANだから、完璧な安全を約束してくれるものじゃない。なんらかの危険性があると思うこと」
「ただし、危険度は一般的なネットアクセスほど高くない。Wi-Fiが利用できる場所に攻撃者が出向く必要があるから、どこからでも攻撃できるものじゃない」
テザリング優先、SIM認証、仮想プライベートネットワーク(VPN)活用で対策を
最後に三上さんは、Wi-Fiを設置する側、企業や自治体にむけたルールづくりや意識向上も必要と唱えたうえで、利用者側の対策についてこう伝えていた。
「まずテザリングを優先利用してほしい。ドコモやau、ソフトバンクといったMNOのスマホであれば、0001docomo、au_Wi-Fi2、0002SoftBankといったSIM認証(EAP)で」
「それからVPN(Virtual Private Network、仮想プライベートネットワーク)を活用する。このとき不正なVPNは避けること」
―――「99%の人が、フリーWi-Fiのセキュリティ対策をしてない」といういま、ウェブルート(Webroot)は Windows、Mac、iOS、Android のすべてのデバイスに対応した仮想プライベートネットワーク(VPN)ソリューション「Webroot WiFi セキュリティ」の国内販売をスタートした。
<ウェブルート>
https://www.webroot.com/jp/ja