フリーWi-Fiって使ってみたいけどなんとなく「怖い」ものってイメージなんだよね。
確かに怖いところもあるけど、具体的に何が「怖い」のかって、わかってる?
うーん、そう言われてみると......
サツキさんのように、なにが「怖い」のか分からないまま、曖昧な情報にただなんとなくフリーWi-Fiを敬遠している人も多いのではないでしょうか。
今回は、一般人のサツキさんと少しだけIT技術に詳しいサツキさんのお兄さんが犯罪者の気持ちになって、実例も交えながらご紹介します。もちろん対策案も一緒にご紹介していきますね。
フリーWi-Fiスポットで罠をはる!? Wi-Fi利用者をターゲットにする犯罪とは
フリーWi-Fiをめぐる犯罪は大きく分類すると2種類あります。1つは「フリーWi-Fi利用者をターゲットにするもの」そしてもう1つは「足のつきにくい通信手段として、犯罪にフリーWi-Fiを利用するもの」です。
この記事では、特にフリーWi-Fi利用時に注意しなければならない、「フリーWi-Fi利用者をターゲットにするもの」にフォーカスし、以下の3つの犯罪タイプ別にご紹介します。
犯罪のタイプは、特定の方を狙ったものから、不特定多数の方をターゲットにするものまでさまざまです。
あなたの通信見えてますよ! ~暗号なし通信盗み見タイプ
フリーWi-Fiを怖がる理由に「暗号化されていないから」とお答えになる方は多いです。「ネットワーク名(SSID)の横に鍵マークがついていないから」も同じ意味ですね。
暗号化されていないフリーWi-Fiでは、httpからはじまるサイト(暗号化されていないサイト)を利用した場合、情報通信技術にある程度詳しい人なら、容易に内容をのぞき見ることができてしまいます。
のぞき見すること自体は犯罪じゃないし、そういう動画もネット上で結構アップされてたりもする。
え?? そうなの!?
あ、でも、のぞき見(傍受)した情報を外部に漏らしたり、利用した時点でアウトだけどね。
例えば、公園のベンチで俺らの隣の人が大声で喋っているとするよね。その人の話をサツキは聞いてしまう。これってサツキは犯罪者? 違うでしょ?
ちょっと大げさな例えかも知れないけど、みんなで共用のネットワークを使うっていうのはそういうことなんだよ。だからと言って便利なものを使わないってのはもったいないだろ。 公園のベンチもフリーWi-Fiもルールやモラルを守って使えばいいんだよ。
でも、サツキがどんなサイト見ているとか、別に俺は興味ないしなぁ。正直犯罪者もそうじゃないの?
え、私狙いの変態とか......
それはよっぽどの変態だな......
ドスッッッ(蹴り)
仮に、俺がサツキ狙いの変態でカフェで通信をのぞき見したとしても、複数の人が通信していたらどれがサツキのかは分からんわけだよ。サツキの通信だと思っても全く知らんおっさんの可能性もある。だったら、サツキの席の斜め後ろからスマホを直接覗いたほうがずっと楽だ。
そういうものか。
ただ、俺が普通の犯罪者だったら、知らんおっさんのだとしてもクレカ情報は欲しいわけよ。
でも、今はほとんどのサイトがhttps化されている。httpsのサイトはフリーWi-Fiだとしてものぞき見はできないんだよ。セキュリティ意識が希薄なサイトに警戒心のないユーザーがうっかりクレカ情報を入れる可能性はあるかもだけど、その少ない可能性に賭けてWi-Fiスポットをずーっと監視してるのも効率が悪いんじゃないかなぁ。
確かにね。ただ、そうはいっても見られたくないのは乙女心でしょ。
【対策】通信をのぞき見されないためにはどうする?
対策は大きくわけて「見られては困る情報のやりとりをしないこと」と「盗み見られないような通信を行うこと」です。具体的には以下になります。
- 外出先では個人情報などの重要な情報のやりとりをひかえる
- httpsからはじまる(暗号化されている)サイトだけを利用する
- VPNアプリなどを利用する
俺だったらフリーWi-Fiかどうかに関わらず、クレカの情報なんかは外では入力しないよ。さっきも言ったけど、通信ののぞき見の前にスマホの画面とかカード自体を覗かれていたらどうしようもないし。ゲームのアプデとかはするけどな。
なるほど、見られたら困る通信がなにか、なんて考えたこともなかったなぁ。
外出先のフリーWi-Fiの安全な利用やVPNアプリについては、以下のコラムでも紹介していますので参考にしてください。
関連リンク:フリーWi-Fiって危険じゃないの?安全に使うには
https://www.ntt-bp.net/column/blog/2020/11/wi-fiwi-fi-3.html
関連リンク:フリーWi-Fiを利用する時、VPNアプリで接続した方がいいの?
https://www.ntt-bp.net/column/blog/2021/04/post-12.html
なりすましWi-Fiで個人情報を盗め! ~個人情報ドロボウタイプ
「なりすましWi-Fi」や「悪魔の双子」、「野良Wi-Fi」などと呼ばれる偽のWi-Fiを準備し、偽のWi-Fiスポットを利用して不特定多数の方の個人情報を盗むのが、個人情報ドロボウタイプです。
特に、世界的なスポーツイベントなどの人が集まる場所ではこういったWi-Fiが設置される危険性が高まると言われています。
俺がやるとしたらこれかな。偽のWI-Fiを用意するのは大して難しくないし、なりすましWi-Fiを設置すること自体は別に犯罪じゃないし。すぐに偽のWi-Fi機器を撤収して情報を転売すれば、足もつきにくいだろうし。
え?? そうなの??
だってSSIDは好きに設定していいからね。まぁでも偽のWi-Fiを設置するだけじゃ単なるテザリングで情報は盗めないから、いろいろと準備をする必要はあると思うけど。
ここでは、なりすましWi-Fiを悪用した個人情報の詐取の方法で代表的な2つのタイプをご説明します。
偽サイトから個人情報を入力させるフィッシング詐欺タイプ
1つめは、フリーWi-Fiのログインの仕組みを利用して、フィッシングサイトへ誘導し、SNSのID・パスワードやクレジットカード情報などを入力させ、個人情報を盗むタイプです。
人が多く集まるようなイベントとかでさ、いかにもその会場のWi-Fiって顔をして、偽のWi-Fiを置いたら、「お、ラッキー! Wi-Fi発見!」って無警戒に個人情報を入れる人がいると思うんだよね。
私、入れそうだわ。
ただこの手口の場合、本物と見間違うようなフィッシングサイトの準備をしないとなんだよなぁ。面倒だけど本気になってやれば、それも難しくはないだろうけど俺なら手間だなぁ......
偽のアクセスポイントを使って無断で通信に入り込む中間者攻撃タイプ
次にご紹介するのは、偽のアクセスポイントを使い、無断で通信に入り込んでくるタイプです。先ほどのフィッシングサイトとは異なり、偽のサイトではなく正規のサイトにアクセスしている通信に割り込み、情報を盗みます。
通常、SSLで守られたサイト(httpsからはじまるサイト)は第三者から通信内容を見られることはありません。しかし、このようなケースではSSLサーバ証明書を偽造するなどして、ユーザーをだますこともあるようです。
あれ? さっきの通信"盗み見"タイプとはどこが違うの?
さっき説明した通信の盗み見は「暗号化されていないサイト」で「暗号化されていない正規のフリーWi-Fi」。正規のWi-Fiでも起こりうるけど、自衛も比較的簡単なんだ。
だけどこっちは「暗号化されているサイトであっても」悪意のある「なりすましWi-Fi」。犯罪目的で設置しているから、似ているように見えるけど全然違う。
どっちが危ないのかな? 危なさ具合はいっしょ?
こっちの方が危険性は上だよ。「暗号化されていない正規のフリーWi-Fi」では、利用するサイト自体がhttpsのサイトであれば危険性はないけど、このタイプは暗号化された秘密の通信にあえて割り込んで情報を盗むわけだから、たちが悪いよね。
怖っ! で、どうすれば対策できるの??
【対策】なりすましWi-Fiにひっかからないためには
「なりすましWi-Fi」による個人情報ドロボウにあわないための対策は4つです。
当たり前のことではありますが、このような悪質なWi-Fiに接続しないことが最も重要です。
- 正体不明のフリーWi-Fiにつながない。 お店のステッカーを確認したり、店員さんに聞くなどしたりして、正式に提供されたWi-Fiのみに接続する
海外では空港から遠く離れた場所に、空港の名前がついたWi-Fiが設置されている、といった例も報告されています。
- Japan Wi-Fi auto-connectアプリが対応しているWi-Fiスポットでは、アプリを利用してインターネット接続する
- フリーWi-Fiのログイン画面やその後インターネットの利用中に、普段と異なる動きをする、証明書エラーが表示される、などの違和感を覚えたら接続をやめる
- VPN接続を利用する
VPNでの接続は中間者攻撃タイプには有効です。しかし、フィッシング詐欺タイプのように、偽のサイトにユーザー自身が情報を入力してしまっては意味がありません。VPNを利用していても過信せず、他の対策と併用しましょう。
なりすましWi-Fiを見破るのって結構難しいし、Wi-Fiの会社の人もアプリ以外の方法では難しいって言っているみたいだよ。
なりすましWi-Fiについては、以下のコラムでもご紹介していますので、参考にしてくださいね。
関連リンク:なりすましWi-Fiってなに? ~映画「スマホを落としただけなのに 囚われの殺人鬼」をWi-Fi会社の視点で観てみた
https://www.ntt-bp.net/column/blog/2020/12/post-10.html
ターゲットの機密情報を狙い撃ち! ~スパイタイプ
あとは特定の人を狙って、機密情報などを盗む「スパイ」のような犯罪がある。このタイプは俺らのような一般人にはあまり関わりが薄いかもね。
スパイタイプは、個人情報ドロボウタイプと少し似ていますが、違いは特定のターゲットに絞られているところです。国家的な犯罪組織やテロリスト、産業スパイなどがこれに当たります。
ホテルのWi-Fiをハッキングするなどして、内部情報を盗んだりするための罠を張ります。
高級ホテルに滞在中の企業幹部を狙った、Darkhotel(ダークホテル)というマルウェア攻撃の実際の手口はこのようなものでした。
まず、ホテルのWi-Fiをハッキングし、ターゲットが接続するのを待ちます。ターゲットがWi-Fiに接続すると、ソフトウェアのアップデートを装い、偽のプログラムをインストールするようメッセージを出します。偽のメッセージと気づかずクリックしてしまうと、ウイルスに感染し、機密情報がスパイの持つサーバに転送されてしまいます。
わ、私の情報をスパイが狙ってる......!
私、昨日カフェのフリーWi-Fiでネットドラマの続き観てたんだよなぁ。大丈夫かな。
あのさ、俺の話聞いてる? だから、サツキの見てるサイトとかさ、もっと言うとサツキの個人情報もスパイは興味ないから。でも、例えばサツキの会社の機密情報にアクセスできるID/PWとかだったら話は別かもしれないけどね。
あ、そういうことか! 出張中は会社から支給された業務用携帯でテザリング通信するようにしよ......
あとはパソコンのフォルダとか共有設定がOFFになってるかの確認もしたほうがいいね。
機密情報を守るには
Darkhotelなどの攻撃に対しては、一般的な情報セキュリティの意識と環境整備が重要です。
- 機密情報の入った端末をフリーWi-Fiに接続しない
- 出張前にソフトウェアは最新にしておく
- 正式に提供されているWi-Fiであっても、普段と違った動きをしていた場合は利用を停止する
- セキュリティソフトなどで端末を守る
- フォルダやファイルの共有設定はOFFにしておく
実際に伊勢志摩サミットの際に、メディア向けの旅館に仕掛けられてたことがあったんだけど、それはサイトの動作の遅さを不審に思った記者が通信元を調べたところ不正が見つかったんだよね。
その記者の人、逆にすごすぎない?
まあサツキには無理だよね(笑)。ただ、機密情報を扱うならそういう心構えが必要ってことだよ。
関連リンク:DarkHotel(ダークホテル)
https://blog.kaspersky.co.jp/darkhotel-apt/5392/
重要な情報とそうでない情報を冷静に判断して、フリーWi-Fiを上手に使おう!
漠然としたフリーWi-Fiの「怖い」について、その正体は見えましたでしょうか?
フリーWi-Fiの危険性もひも解いてみれば、当たり前の対策で防げるものばかりですよね。 使い慣れないフリーWi-Fiに「怖い」を求めていた、なんて側面もあるのではないでしょうか。
あなたが守りたい重要情報、そうでない情報がなにかをいま一度考えてみるきっかけになったのではないでしょうか。
対策方法を参考に安全なフリーWi-Fiライフを送ってくださいね。
なるほど。よく分からずに怖がっていたけど、犯罪のタイプで対策も違うんだね。
でも、いつも気をつけているような内容だったから、改めてなにかするってわけじゃないんだ。
そうそう。あとは自分にとって他人に知られたくない重要な情報はなんなのかをちゃんと認識しておくこと。やみくもに怖がるんじゃなくて、「しっかり知っておくこと」こそ対策なのかもしれないね。
以下のコラムでも、フリーWi-Fiを安全に使うためのポイントなどをわかりやすくまとめているので、ぜひ参考にしてみてくださいね。
関連リンク:フリーWi-Fiって危険じゃないの? ~フリーWi-Fiを安全に使うには
https://www.ntt-bp.net/column/blog/2020/11/wi-fiwi-fi-3.html
