2024.01.17 (Wed)
いま企業に求められる情報セキュリティ対策(第7回)
便利だけど危険!?「フリーWi-Fi」を安全に使う方法
通信料金を気にせずに、ネット通信が利用できる「フリーWi-Fi」には、安易に使用するとIDやパスワードが盗まれる恐れがあります。どうすれば防げるのでしょうか?
フリーWi-Fiを使って、IDとパスワードが盗まれた!?
「フリーWi-Fi」とは、無料で不特定多数のユーザーが利用できるアクセスポイントのことです。「公衆無線LAN」「無料Wi-Fi」と呼ばれることもあります。
フリーWi-Fiの最大のメリットは、パソコンやスマートフォンといったモバイル端末をフリーWi-Fiに接続することで、通信料金を気にせず、高速な通信が利用できるという点です。街中や施設内で提供されているフリーWi-Fiを利用したり、逆に企業や自治体が、来訪者の利便性向上のために、フリーWi-Fiを提供しているというケースも多いでしょう。
しかしフリーWi-Fiには、情報セキュリティの面で落とし穴が存在します。セキュリティ対策が行われていないフリーWi-Fiを利用すると、何者かにユーザーの通信内容が盗み見られ、IDやパスワードなどの情報が悪用される恐れがあります。
総務省が公開している「Wi-Fi利用者向け簡易マニュアル」というPDFでは、フリーWi-Fiを利用することによる被害の事例が紹介されています。それによると、あるユーザーが旅行先でフリーWi-Fiを利用した際、SNSによる認証が求められたため、自分のSNSのIDとパスワードを入力すると、後日、そのアカウントに何者かがログインし、身に覚えのない誹謗中傷の投稿が行われていたといいます。
これは、ユーザーが利用したフリーWi-Fiが、実際には悪意で設置されたものであることが原因です。そのフリーWi-Fiの認証時に入力したSNSのIDとパスワードが、悪意のある第三者によって盗用され、なりすましによる不正アクセスを受けた、ということになります。
もし盗用されたのがSNSアカウントではなく、ECサイトや仕事で使用するメールアカウントのログイン情報であれば、クレジットカードの情報や、業務上の機密情報が盗まれる恐れも十分に考えられます。
あやしいフリーWi-Fiを見分ける方法
こうしたフリーWi-Fiの被害から身を守るためには、どうすれば良いのでしょうか? 先に挙げた総務省の資料では、まずは接続しようとしているWi-Fiサービスと、これから接続しようとしているSSID(接続先の名前のこと。Service Set Identifierの略)が相違ないかを確認することが重要としています。これは、悪意のあるアクセスポイントは、本物のアクセスポイントに似せた名前を、端末の接続画面に表示し、ユーザーが誤って登録することを狙っているためです。
アクセスポイントに接続し、ID・パスワードを求められた場合には、入力画面のURLが「https://」で始まっているか、URLが正しいか、通信にエラーが発生していないかを必ずチェックすべきとしています。
入力画面のURLが「https://」であることを確認することが重要
たとえば、ブラウザの鍵マークの部分に「!」マークが表示されたり、「接続が安全ではありません」のようなエラーメッセージが表示される場合は、正しいサイトでない可能性が高く、IDやパスワードの入力は大変危険といいます。
安全に接続するための対策としては、Wi-Fi事業者が公式に提供する接続アプリを使用することで、偽のアクセスポイントへ接続される危険性が抑えられるとしています。
Wi-Fiの提供者側も、セキュリティ対策を行う必要がある
総務省では、Wi-Fiの利用者向けだけではなく、Wi-Fiの提供者である企業に対しても、セキュリティ対策の資料を公開しています(Wi-Fi提供者向けセキュリティ対策の手引き)。
提供者向けの対策としては、Wi-Fi機器のパスワードを複雑化したり、機器のファームウェアが更新された場合最新のものに更新するなど、機器を適切に運用することが重要としています。
加えて、業務用のPCがWi-Fiからアクセスされる恐れもあるため、自社・自組織で業務用に利用しているネットワークを使ってWi-Fiを提供することは避けるべき、ともしています。
さらに、事件や事故が発生した時に、Wi-Fiの利用者情報を認証する仕組みを導入しておくことで、誰がWi-Fiを使用していたのかを調査でき、不正利用防止につながるとしています。認証方法としては、利用開始時にメールアドレスを入力する方式や、SNSアカウントを利用した認証方式、携帯電話のSMSを利用した認証方式があります。
こうした認証が求められるシーンとしては、バス停やショッピング街、屋外イベントなど、開かれた空間で多くの利用者が自由に出入りできる場面が挙げられています。一方で、空港やホテルの客室、レストランやカフェなど、目視や監視カメラ、帳簿やシステム記録で利用者の入退室を把握できる環境では、必ずしもWi-Fiシステム側で利用者情報の確認や認証を行う必要は無いといいます。
Wi-Fiの利用者情報の認証が必要なシーン
フリーWi-Fiは多くの人が簡単に利用できるものであるため、悪意のある第三者に狙われる恐れも必然的に高まります。しかし、利用者側と提供者側が気を付けることで、被害を未然に防ぐことができます。もし街中で日常的にWi-Fiを利用しているのであれば、そしてもし自社がWi-Fiを提供しているのであれば、セキュリティ面で問題のある使い方をしていないか、改めて確認をすべきでしょう。
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)
