イントロダクション
パソコンもスマホも、当然のように無線LAN接続が行われるようになってきています。
社内システムやパソコンのことをなかなか覚えてくれない人でさえ、個人所有のスマホのWi-Fi接続だけはちゃっかりできたりします。
理由はスマートフォンのデータ使用量の節約が第一でしょう。自分に有益だとわかったことは誰でも積極的に利用しようとします。それが自身の支出に関わったり、仕事でも自身の売上につながるものとなると、放っておいても覚えてくれます。
多くの人がその利便性にばかり目が行っていますが、無線LANにもデメリットは存在します。特にセキュリティに関しては脆弱性だけではなく様々なトラップで情報が詐取される可能性があります。
その中でも最近特に増加している街中の無料Wi-Fiスポットは、情シスとしては是非とも使用を禁止したい代物です。「無料Wi-Fiスポットはセキュリティ上危険」とだけ言っても「何で?」となるだけなのは目に見えているので、今回はどのような危険性があるのかきちんと説明していこうと思います。
併せて無線LANセキュリティの新規格「WPA3」にも少し触れていければと思います。
今回も分類として「ネットワーク」なのか「セキュリティ」なのか微妙なテーマですが、技術的な内容よりセキュリティ啓発がメインテーマなので「セキュリティ」に分類することにしました。
Wi-Fiスポットとは何か
そもそもWi-Fiって何?
無線LANよりもWi-Fiという呼び方の方が定着しているのではないでしょうか。
そもそもWi-Fiとは何か。約めて言うと「無線LANに関する登録商標」です。
無線LANとはIEEE 802.11で定義された無線通信に関する規格ですが、当初は他社の製品との相互通信までは保障されていませんでした。規格に沿った通信さえしていれば、どのような接続方法をしても問題ありませんでした。
これでは無線LANの普及が進まないということで発足したのがWireless Ethernet Compatibility Alliance、後のWi-Fi Allianceです。
相互接続が可能な製品であるとWi-Fi Allianceが認定した製品は、登録商標である「Wi-Fi」のロゴを使っても良い、というものです。
Wi-Fi Allianceによって多くの無線LAN機器はWi-Fiの認証を受けて相互通信が可能になり、広義の意味では無線LANとWi-Fiはほぼ同義の言葉になっていきました。
厳密には「Wi-Fi」は相互通信の認証であり通信そのものではないので、「Wi-Fiに接続する」という用法は間違っているのですが、もはやそれで通じてしまうほどに「Wi-Fi」という言葉が浸透しています。
Wi-Fiスポット≒無線LANアクセスポイント=無線LANルーター
これを延長した形で誤用されるのが上記の3つの名称です。
これも厳密に言えば、「無線LANルーター」「無線LANアクセスポイント」が有線LANを無線LANに変換する機械であり、その(Wi-Fi認証を受けた)機械から発生する無線を利用して接続する接続方法が「Wi-Fiスポット接続」です。
全てほとんど同義で利用されていますが、機械を指す言葉と接続方法を指す言葉が混同していることになります。「Wi-Fiスポット接続」はさらに短縮され「Wi-Fi接続」になっています。
無線LANも元をたどっていくと有線LANにたどり着きます。この有線LANがインターネット接続できる場合、そこからルーター機能で複数の端末が接続できるようにしているのが無線LANルーターです。
無料Wi-Fiスポットの危険性
利用料金を払っていないインターネット接続にWi-Fiスポット接続で接続する
無線LANルーター及び有線LANのインターネット接続は有償です。
自宅でインターネット回線(有償)をひいていればこそ、無線LANルーターでアクセスポイントを設定することができます。モバイルルーターの場合でも、ルーターが有償です。
しかしカフェやホテル等で、別途料金を払うことなくアクセスポイントへWi-Fi接続できる場所があります。これが無料Wi-Fiスポットと呼ばれるものです。
無料Wi-Fiスポットの設置理由は様々ですが、店舗の集客や囲い込み、顧客の利便性向上などが挙げられます。冒頭でもお話したとおり、Wi-Fi接続はスマートフォンのデータ使用量節約に効果があり、アクセスポイントにただ乗りするために店舗に入ったりホテルに宿泊したりすることを狙っています。
カフェなどではスマホだけではなくタブレットやノートパソコンを接続しているのを見ることもあります。某カフェでMacBookAirを開いて英字新聞をこれ見よがしに広げる=意識高い系の象徴みたいな言われ方をしていたこともあります。出張先のホテルで業務パソコンをWi-Fi接続して夜な夜な仕事をしているSEと比べるとキラキラ感に雲泥の差があるのは何故でしょうか。
どのようなセキュリティが確保されているか明示されていない
無料Wi-Fiスポットの危険性は、一言でいえば「どのようなセキュリティが確保されているか明示されていない」ことです。
様々なサイトに「暗号化マークが出ていればOK」とか「大手企業が公開しているWi-Fiスポットなら信頼できる」とか書かれていますが、結局どれも「たぶん大丈夫」の域を出ません。有償サービスはセキュリティに関する機能を事細かに紹介していることが多いですが、無料Wi-Fiスポットにその10分の1でも書かれていることは非常に少ないです(全くないとは言い切れませんが)。
何を持って安全と言っているかわからない時点で、無料Wi-Fiスポットが安全などとは口が裂けても言えないというのがほぼ全てです。
それでは具体的にどのような危険が存在しているか、代表的なものを紹介していきます。
通信が暗号化されておらず、盗聴が可能
無線LANの最大の脆弱性は、電波として周囲を守られていない空間で通信が行われていることです。有線LANはLANケーブルの中を通っているので、途中にハブ等の機器が無ければ物理的にはLANケーブルを分岐させないと通信を盗聴することはできません。しかし無線LANは無線ですから、電波として傍受することは可能です。
傍受された電波が読み取られないようにするには通信を暗号化する必要がありますが、全てのWi-Fiスポットの通信が暗号化されているわけではありません。
暗号化されていない電波は盗聴の危険にされされることになります。
無線LANルーターの先はどこに繋がっているかわからない
先ほどもお話したとおり、無線LANもルーターの向こうには有線LANがあります。
この有線LANは何をしているネットワークでしょうか。無線LANが暗号化されていたとしても有線LANの側でパケットを解析したりすることは可能です。
全国チェーン店舗の無料Wi-Fiスポットは利便性のために全店舗で同じSSIDを利用している場合もあり、「abcdxxx」というSSID=「〇〇カフェの無料Wi-Fiスポット」と思って接続してみると、偽装したアクセスポイントで裏で通信を盗聴されている可能性があります。
個人利用は「注意する」レベルで良いが、業務利用はそうはいかない
上記リスクを理解した上で、パスワード情報の入力を控えたりメール送受信をしなかったり等注意して個人利用する分には自己責任ですが、業務利用でそのリスクを負うわけにはいきません。
個人情報保護がこれだけ声高に叫ばれる中、どこで盗聴されているかわからないネットワークにパソコンやスマホを接続させるのはもはや自殺行為に等しいことを十分理解してもらう必要があります。
無線LANセキュリティ規格は上がっても注意が必要
2018年6月にWi-Fi Allianceは現在のセキュリティ規格「WPA2」の後継規格である「WPA3」を発表しました。
WPA3で提供されるプログラム「Wi-Fi Certified Enhanced Open」ではオープンな接続のセキュリティを向上するため、ユーザー毎に独自の暗号化を施すことができます。これにより公衆無線LANのセキュリティも向上することになりますが、対応機種がリリースされるにはまだまだ時間がかかります。
また技術的にどれだけセキュリティ対策が進んだとしても、SSIDのなりすまし等の危険が減少したわけではありません。
既知のSSID以外の接続を行わせない、社内で利用している無線LANアクセスポイントのSSID、パスワードを流出させない、類推できそうな文字列にしない等、引き続き対策が必要です。
そして「無料Wi-Fiスポットは危ない」ということを正しく社内に周知して、会社支給のモバイルルーターやスマホでのテザリング等、セキュリティの確保された通信のみを許可するよう運用を徹底することも重要でしょう。
セキュリティは機能や設定だけでは防げません。最後は結局「人」がセキュリティを守る砦になるのです。
この記事が気に入ったら
いいね!をお願いします
