公衆Wi-Fiが完全に安全が確保されているわけではないことは多くの人が認識していると思いますが、この度セキュリティソフトで知られるAvast Software社の実験で衝撃の結果が出ました。

通信に精通した技術者でも、わずか4時間で2,000人以上が簡単に騙された?!

MWC-2016

2016年2月22〜26日にスペインのバルセロナで開催された国際的なモバイル関連の見本市Mobile World Congress 2016(MWC)にて、セキュリティソフトの提供で知られるAvast Software社が、MWC来場者を対象とした実験を行いました。

Avast社は、2月22日にバルセロナ空港内のMWC登録ブースの周辺で「Starbucks」「Airport_Free_Wifi_AENA」「MWC Free WiFi」など、一見すると公式に提供されている公衆Wi-Fiサービスと見分けがつかないネットワーク名(SSID)をつけた偽のアクセスポイントを設置し、どれくらいの人がアクセスするかを実験しました。

参考:Business Wire Avast Wi-Fi Hack Experiment Demonstrate “Reckless” Behavior of Mobile World Congress Attendees(英文)

その結果、アクセスポイントを設置したわずか4時間の間に、2,000人以上の人が、これらの偽ネットワークに接続し、そのうち63.5%の人については端末情報や個人情報を特定することができたと発表しています。

特定された情報は「利用している端末」「使用しているアプリ」「アクセスしたウェブサイト」などに加え「ユーザー自身の身元を識別することができる情報」も含まれていました。

偽ネットワークに接続した2,000人のほとんどは、共有ネットワーク上にプライベートネットワークを構築することで第三者の侵入を防ぐVPNサービスを利用していなかったこともわかりました。

無料で使える便利な公衆Wi-Fiですが、利用する際には悪意あるユーザーが狙っていることも認識して注意する必要があります。

しかしながら、国際的なモバイル関連の見本市であるMWCに参加するような通信に精通したユーザーや技術者ですら、実はあっさりと偽ネットワークにアクセスしてしまいます。

危険性は知っている。でも?!

SPAIN-TELECOM-MOBILE-MWC-WORLD-CONGRESS_1456478432216429_v0_l

実は公衆Wi-Fiのセキュリティについて脅威認知度はそこまで低いわけではありません。

総務省が平成27年3月に発表した「公衆無線LAN利用に関する情報セキュリティ意識調査」によると、公衆無線LAN利用時の脅威について半数以上が認知していました。しかし、その脅威に対して実際に対策している実施率は低く、半数以上が対策を取っていませんでした。

ffb204f4cf31ac08ab7579128ed8a389

参考:総務省「公衆無線LAN利用に関する情報セキュリティ意識調査

アクセスポイントのSSIDや暗号化、SSL通信の確認等の基本的な情報セキュリティの対策ですら実施しているのは2〜3割と極めて低い結果です。
無料や低コストで利用出来る便利な公衆Wi-Fiですが、改めてその危険性を認識し対策を取る必要があると言えます。

暗号化されていても注意が必要?!簡単に盗み見されてしまうWi-Fi

セキュリティ

公衆Wi-Fiサービスで「SSIDに鍵マークが付いていない=暗号化されていない」Wi-Fiの利用には特に注意が必要です。
コンピュータの無線LANカードには「プロミスキャス・モード(無差別モード)」という動作設定があり、この設定にすると、アクセスポイントから流れているすべてのパケットを収集することができてしまいます。

つまり、同じWi-Fiを利用している悪意あるユーザーが、このプロミスキャス・モードを設定していれば、自分を含むすべてのユーザーの情報を盗み見することができてしまうのです。

また、「WEP」や「WPA」といった暗号化処理をされていれば安心かというと、実際にはそうでもありません。なぜなら公衆Wi-Fiを利用する際に「キー(パスワード)」はかかっていても、キー自体が公開され、全員が同じキーを使用しているような場合は、暗号化されていてもキーさえ知っていれば復号することが可能です。暗号化されていないも同然なのです。

見分けのつかない偽物「悪魔の双子」に注意!

公衆Wi-Fiを利用する際にもう一つ気をつけなければいけないのが「Evil Twins(悪魔の双子)」と呼ばれる偽物のアクセスポイントです。
公衆Wi-FiではSSIDとキーが公開されているため、悪意のあるユーザーはこの公衆Wi-Fiと全く同じSSIDとキーを設定したアクセスポイントを設置することができます。

本物と見分けがつかない偽物のアクセスポイントを利用したユーザーは悪意あるユーザーに通信内容を盗み見され、通信内容の改ざんや悪用されたりしてしまう恐れがあります。

高級ホテルでも安心できない?!ウィルス感染したネットワーク環境

セキュリティ

主にホテルのWi-Fi(及び有線LAN)を利用する際には、偽物だけでなく本物のWi-Fiにも危険性が潜んでいます。

ウィルス感染の一例ですが、まず悪意あるユーザーが何らかの方法でホテルのネットワークに侵入し、ウィルス感染させます。ホテル利用者がウィルスに感染されたネットワークに接続すると「Adobe Flash」や「Googleツールバー」など多くの人がインストールしているソフトウェアの更新を促されます。

実はこのソフトウェアの更新を勧める表示は偽物であり、表示に従って更新プログラムをインストールしてしまうと、個人情報や企業の機密情報などパソコンにあるあらゆるデータが盗まれてしまう危険性があります。

ウィルス対策ソフトで知られるカスペルスキーはこのウィルスを「Darkhotel(ダークホテル)」と名付け、注意を呼びかけています。

安全が確保されているのは?

通信情報を覗かれず、偽物のネットワークやウィルス感染したネットワークにアクセスするリスクが極めて低いのが「携帯電話」や「モバイルWi-Fiルーター」を利用する方法です。

海外渡航先で携帯電話を使ってネット接続する方法には、普段日本国内で使っている携帯電話会社のローミングを使用するか、または現地の携帯電話会社が発行するプリペイド式のSIMを購入する方法があります。

前者は普段使用している携帯電話やスマートフォンをそのまま海外で使うことができるので利便性は高いですが料金も1,980円~2,980円程度と、長期間滞在する場合は高いです。また、接続先の設定を間違えて、提携外のネットワークに接続してしまう と、料金がさらに高額になってしまう場合もあります。

後者は、料金は低く抑えられますが、設定が難しい場合もあり、基本的な知識や語学力に自信が無い人にはおすすめできません。また、SIMフリーの端末が必要になるため、持っていない人は用意する必要もあります。

改めて公衆Wi-Fiの危険性を認識する

Big-Announcements-From-Mobile-World-Congress-2016

高額なデータローミングよりも無料のWi-Fiを利用しようと思うのは決して驚くべきことではありません。世知辛い感じはしますが公衆Wi-Fiを利用する場合には「渡る世間は鬼ばかり」という心構えが必要です。

Avast Wi-Fi Hack Experimentを振りかえって、Singh氏は、こんなコメントも出しています。

オープンなWi-Fiスポットの利用は安全でないことくらい、多くの人が認識していることだ。とはいえ、たとえその点を認識していても、スマートフォンの設定次第では、自動的に(安全でないものも含め)Wi-Fiスポットへ接続してしまうことは、あまり認知されていない。

パスワードで保護されていないWi-Fiスポットへ、自動で接続す る設定を使用しているユーザーは、とりわけ注意しなければならないでしょう。無料でWi-Fiが使えると喜んでいたら、知らないうちに重要機密を抜き取ら れまくっていたなんてことにならないよう、外出先では気をつけないといけませんね。