フリーWi-Fiにはどのような危険が潜んでいるのか

皆さんは普段、カフェなどの公共施設でFree Wi-Fiを使用する機会はありますか？
もしかしたら、情報を盗み取られているかもしれません。

テレワークが普及したことで自宅や会社以外の場所で仕事や作業をする機会が増えたかと思いますが、その分セキュリティ面で十分に注意が必要になります。

今回はFreeWi-Fiに潜む危険性に触れながら、そもそもインターネット利用時に気を付けなければならないポイントについても解説します。
安全に便利にWi-Fiを活用できるように、基本を押さえていきましょう。

目次

• そもそもFree Wi-Fiとは？
• フリーWi-Fi以外のWi-Fi-その違い-
• Free Wi-Fiだけが危険なわけではない
• 情報の漏えい網とは
• HTTP・HTTPSとは？-その違い-
• HTTPSのSにはどのような意味があるの？
• 要注意！偽アクセスポイントとは？
• 3つに分けられる、Free Wi-Fi
• 偽アクセスポイントを使用した攻撃・盗みの仕組み例
• Free Wi-Fiを使用する際の、気をつけるポイント
• まとめ

Free Wi-Fiとは、公衆無線LANや無料Wi-Fiスポットとも呼ばれ、無料で自由に接続できるWi-Fiのことを指します。

携帯電話会社の料金プランは、月々のデータ利用量の上限が設けられていることが一般的。出先で動画視聴やゲームをプレイするとデータ容量が消費され、データ通信制限がかかってしまうこともあります。

そこで、Free Wi-Fiが役立ちます。Free Wi-Fiを使用することでデータ容量が消費されることなく、さらに無料で利用できることが大きなメリットです。
Free Wi-Fiは広く普及し、カフェ・公共交通機関・図書館など様々な施設で提供されています。

尚、Free Wi-Fiを提供している施設は、施設内に無料でWi-Fiが使用できることを知らせる表示があり、手順に沿ってIDとパスワードを入力することで利用可能です。

Wi-Fiは大きく分けると3つの種類があります。

・自宅の光回線など、固定回線を利用したWi-Fi
・モバイルWi-Fi（モバイルルーターやスマホのテザリングを含む）
・Free Wi-Fi（公衆・公共のWi-Fi）

Free Wi-Fiとそれ以外のWi-Fiの大きな違いとしては、無料か有料かが1つの違いといえます。
また、光回線や固定回線を利用したWi-Fiは自宅でしか利用ができませんが、モバイルWi-FiやFree Wi-Fiは外出先でも利用可能なため、場所を選ばず・データ容量を気にすることなく使用することができます。

カフェなどでFree Wi-Fiを使用することで情報漏えいが起きてしまうなどのケースから、Free Wi-Fiが危険と思われることが多いですが、実はFree Wi-Fiそのもの自体が特別危険ということではありません。

Free Wi-Fiだけでなく、そもそもインターネットを安全にに使用するためには提供者・利用者の双方が正しく使う必要があるのです。

利用サイトがHTTPSではない、もしくはHTTPS対応のサイトであっても利用者側がHTTPで接続してしまった場合、通信内容はすべて盗聴されてしまいます。
現在、HTTPSを使っていないサイトは稀かもしれませんが、中間者攻撃でHTTPに誘導される可能性があります。そのため利用者は、HTTPSで接続していることを目視で確認する必要があります。

無線LANの脅威と聞くと、暗号化されていない無線LANを思い浮かべる方も多いかと思いますが、Free Wi-Fiの多くは暗号化されていても盗聴される問題はあります。それは、無線LANのパスワードが公開されているからです。

また、攻撃者がカフェのWi-Fiを偽装した「偽アクセスポイント」の脅威もあります。本物のアクセスポイントと同じSSIDとパスワードを設定した偽アクセスポイントは、利用者からは本物と区別することが非常に難しいため、大きな脅威となります。

このような表示を見たことがある方、少なくないのではないでしょうか。

利用者がHTTPSで接続しても、攻撃者が再暗号化する方法で通信内容を盗聴している場合に、ブラウザ上でエラーとなります。利用者が警告を無視する操作をしなければ通信は継続できません。

上図のような証明書エラーが表示されたら、利用を停止するようにしましょう。

引用元：Rapid Site by GMO：Webサイトへアクセスをしたら「このサイトは安全ではありません」と表示されます

Windowsにはネットワークプロファイルという機能があり、パブリックもしくはプライベートに設定が可能です。しかし、公衆無線LANの場合はパブリックにする必要があります。これを間違えてプライベートに設定している場合に、次のような脅威があります。

・パソコンやスマホ内のファイルが読み取られる
・ウイルスなどの不正なデータを送り込まれる
・クレジットカード情報などを盗まれる　など

ウイルスへの感染自体は公衆無線LANを使用していなくても可能性のあることですが、偽アクセスポイントに接続することで感染のリスクは高まります。
偽アクセスポイントに接続し、ネットワークプロファイルをプライベート設定にしていることで感染の可能性が増えます。

ここまでの流れで、「HTTPS」って一体なに？と思われた方もいらっしゃるのではないでしょうか。もしくは、「HTTPとHTTPSの違いとは？」と思った方もいるかもしれません。

HTTP・HTTPS共に、一言でいうと「ホームページで表示するための世界共通のルール」です。

ホームページのデータはサーバー上に保存されており、ホームページを閲覧するときはブラウザを利用します。つまり、サーバーとブラウザ間でやり取りをしないとホームページは表示されません。かつ、サーバーやブラウザ毎に独自のルールを作ってしまうと、アクセス環境によっては表示できないといったトラブルも起こる可能性があります。

そこで、全世界ホームページを表示させるための統一のルールを作ろう！となり、生まれたのが「http://、https://」なのです。

HTTPSは、HTTPに「Secure（セキュア）」のSを加えたものです。
そのため、https://の場合は、「データのやり取りをセキュアな状態（＝暗号化した状態）で通信をしています」ということになります。

ひっくり返すとhttp://の場合は、「暗号化されていないデータのままやり取りをしている」ということになります。
http://とhttps://のURLの違いに気が付く人もいるかもしれませんが、この違いの意味を気に留める人は少ないかもしれません。

しかし、実は”sがつくのとつかない”のとでは大きな違いがあるのです。

また、HTTPSはFree Wi-Fi向けに開発されたものではなく、元々インターネット自体が改ざんや盗聴などのリスクがあるために導入されたものです。だからこそ、インターネットを安全に使用するためには利用者側も正しく使う必要があるのです。

偽アクセスポイントは主に、以下の2つに分類されます。

• ハッカーがWi-Fiに不正アクセスや盗聴を試みるような、悪性とされる行動の情報取集をする、ハニースポットとして機能するアクセスポイント
• 個人情報や重要情報の搾取を目的とする、攻撃者やスパイによって設置される悪意のあるアクセスポイント

※ハニースポット：サイバー空間にて活動する攻撃者の狙いや手法に関する情報を収集するために設置され、攻撃者にとって魅力的な芭蕉やシステムの囮となる空間やシステムを指します。

上記のようにハニースポットのような役割で使用されるケースもありますが、偽アクセスポイントとしてよく耳にするのは「情報搾取」を狙ったサイバー攻撃で使用されるケースとなります。
今回の記事でも、サイバー攻撃に使用される偽アクセスポイントについて解説しています。

引用元：VPNトーク：野良Wi-FiとフリーWi-Fiの違い【プロが教える危険】安全に利用する方法も紹介

一般的に、Free Wi-Fiはお店や交通機関などの事業者、自治体や通信会社が提供しています。お客様へのおもてなしや緊急時の連絡手段としてなど目的は色々とありますが、提供元ははっきりしています。

しかし、これからご紹介する3つのWi-Fiは違いますので、それぞれの内容と違いについて確認しましょう。

フィッシング詐欺タイプ
Free Wi-Fiのログインの仕組みを使用し、フィッシングサイト（偽サイト）へ誘導し、SNSのID・パスワード・クレジットカード情報を入力させることで情報を盗みます

引用元：Wi-Fi Column：野良Wi-Fi、なりすましWi-Fi(偽Wi-Fi)、悪魔の双子って？フリーWi-Fiと何が違うの？～危険性と対策

中間攻撃者タイプ
偽アクセスポイントに接続した端末の通信に無断で入り込むタイプです。フィッシングサイトとは異なり、正規のサイトにアクセスした通信に入り込まれます。

本来、HTTPSではじまるSSLで守られたサイトは、暗号化されていないWi-Fiであっても第三者から通信内容に入り込まれることはないものの、このタイプではSSLサーバ証明書を偽造するなどして、ユーザーを騙すことがあります

引用元：なるモ｜なるほどモバイル！ビジネスシーンのモバイル活用を楽しく学ぼう

アクセスポイントの提供者を確認しよう

カフェなどでは、上図のようなステッカーや貼り紙でFree Wi-Fiの案内が掲示されているかと思います。
その掲示を確認するなどして、誰が提供していて、どのようなサービスなのかをチェックしましょう。パスワードなしで接続可能なアクセスポイントがあったとしても、提供者が不明のものや不審だと感じるものには接続しないようにしましょう。

アクセスポイント名（SSID）を確認しよう

偽アクセスポイントへの注意が必要です。そのため、接続しようとするアクセスポイントの名前（SSID）が、提供者が案内しているものと同じであるかを確認することが大切です。

悪意あるアクセスポイントが、偽の入力画面に誘導し、ID・パスワードなどの入力情報を騙し取る事例が増えています。以前に使用したことがあったり、知っているアクセスポイントでも、偽アクセスポイントが設置されている可能性があるため、使用毎にID・パスワードの入力画面になった際には下記のポイントをチェックするようにしましょう。

カフェなどのFree Wi-FiのIDを入力する場合は事業者のURLであることを確認しましょう。https（鍵マーク）でも、本物のURLに巧妙に似せた偽URLの場合はあるので注意が必要です。

ブラウザの鍵マークの代わりに「！」マークが表示されたり、「接続が安全ではありません」などのエラーメッセージが表示される場合は、正しいサイトではない可能性が高いため、IDやパスワードなどの入力は危険です。

このような現象は、通信が中断し場合にも発生することがあるので、ブラウザの再読み込み・ブラウザを再起動・Wi-Fiを一旦OFFにして再度ONにするなど、やり直しを試みましょう。

やり直しをしても同じ現象になってしまう場合は、そのアクセスポイントを利用しないのが安全です。

アクセスポイントのセキュリティ対策を確認しよう

Free Wi-Fiの多くは最初の利用時に、サービス利用についての同意画面・認証画面が出てきます。その中にWi-Fiのセキュリティについて説明されているので、理解したうえで利用することが重要です。

今回は、Free Wi-Fiの危険性と利用時に気をつけるポイントについて解説をしました。
テレワークが普及し、カフェなどの公共の場でFree Wi-Fiを利用しながら仕事をしたり、ネットを使うことが容易に、そして身近になりました。

便利な一方で、Free Wi-Fiを正しく利用しないと会社の大切な情報を盗み取られ、情報だけでなく企業の信頼も失うことになってしまいます。そのためにも、利用する側も知識をもち、正しく便利に使用できる状態をつくりましょう。

株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。

→お問い合わせはこちらから