いろいろな施設や交通機関で利用できる公衆無線LANは、通信量を節約し「ギガ不足」を解消してくれる便利なものです。東京五輪に向けてさらなる整備が進められていますが、「公衆」という特性上、自宅の無線LANとは異なる安全面の問題が生じることがあります。今回は、公衆無線LANのリスクと、安全に利用するための対策をご紹介します。
<INDEX>
■無線LAN利用者の4割以上がフリーWi-Fiを利用
IPAの意識調査
■公衆無線LANの危険性 ―― 盗聴や改ざん、なりすましなど
無線部分(暗号化方式一覧)/有線部分
■安全対策 (1) 「SSL/TLS」を利用する
利用中のブラウザのアドレスバー/メールの接続設定例
■安全対策 (2) 「VPN」を利用する
セキュリティソフト会社のVPNアプリ一覧
<以下本文>
情報処理推進機構(IPA)が13歳以上の男女5000人を対象に行った「2017年度情報セキュリティに対する意識調査」によると、全体の36.5%(無線LAN利用者の40.7%)が公衆無線LANなどのフリーWi-Fiを利用して、スマートフォンやタブレットをインターネットに接続すると答えています。
公衆無線LAN接続時に利用しているサービスは、ホームページやブログの閲覧が86.0%と最も多く、次いでネットショッピングやネットオークションでの買い物(37.1%)、Web掲示板やSNSへの書き込み(32.3%)、インターネットバンキングやオンライントレード等の金融関連サービス(12.0%)と続きます。
サイトの閲覧に留まらず、アカウント情報やプライベートな情報、金銭に関わる情報までやりとりしている公衆無線LANですが、必ずしも自宅並みの安全性が担保されているわけではありません。
・2017年度情報セキュリティの脅威に対する意識調査(IPA)
https://www.ipa.go.jp/security/fy29/reports/ishiki/index.html
■公衆無線LANの危険性 ―― 盗聴や改ざん、なりすましなど
自宅の無線LANも公衆無線LANも、いったんインターネットに出てしまえば同じですが、インターネットに出るまでの間にリスクの違いがあります。第三者による盗聴や改ざん、なりすましなどの攻撃を受ける危険性が、公衆無線LANの方が高いのです。
ここでは、端末からアクセスポイント(親機)までの「無線部分」と、アクセスポイントからインターネット回線までの「有線部分」の2つに分けて、公衆無線LAN特有の危険性を見てみましょう。なお、「有線部分」は必ずしも有線とは限りませんが、ここでは便宜的にそう呼ぶことにします。
図1 公衆無線LAN
(1) 公衆無線LANの無線部分
電波が届く範囲なら誰でも受信可能な無線部分を守るのが、無線LANが備える暗号化機能です。無線LANの暗号化方式は表1のようなものがあり、家庭用の親機の場合には、「エンタープライズ」を除く方式をサポートしています。WEP、TKIP、AESの順で暗号強度が高くなりますが、WEPはツールを使用すると直ちに破られ、TKIPも危うい状態なので、安全な選択肢はAESだけとなります。
表1 無線LANの暗号化方式
AESは、今のところ破られていないので安心なのですが、「暗号化キー」が攻撃者の手に渡ってしまうと話は別です。無線LANの暗号化は、暗号化キーと接続した双方の情報を組み合わせて行いますが、安全性の要となるのは暗号化キーです。これが洩れてしまうと、暗号化を解読されてしまう危険があるので、強固なキーを設定し、秘密にしておかなければいけません。
パーソナルユースの「事前鍵共有(PSK:Pre Shared Key)」は、この暗号化キーをあらかじめ機器に設定し、同じキーを持つ機器だけを接続する認証方式です。このため、暗号化キーをパスワードと呼ぶこともあります。本来ならば秘密にしておかないと安全性が担保できなくなってしまう暗号化キーなのですが、この方式を採用している公衆無線LANの場合には、利用者間で同じものを共有してしまいます。悪意のある利用者が他人の通信を盗聴し、解読してしまう可能性があります。家庭では最強のWPA2-PSK(AES)も、公衆無線LANでは、安全とは言えない存在なのです。
企業などで使われているエンタープライズは、電子証明書やパスワード、スマートフォンのSIMカードの契約者情報などを使って端末を個別に認証し、その端末とアクセスポイントが使用する暗号化キーを、その都度配布します。他人のキーは分からないので、暗号を解読される心配はありません。
キャリアが提供する公衆無線LANには、SIM認証(EAP-SIM)を使った安全なアクセスポイントが用意されています。NTTドコモはSSIDが「0001docomo」、auは「au Wi-Fi 2」、ソフトバンクは「0002Softbank」のアクセスポイントが、WPA2-EAPの安全な接続を提供します。しかし、これらを除くと安全と言えるものは少なく、暗号化なしで運営しているアクセスポイントも多数あるのが現状です。
図2 コンビニで提供されていた公衆無線LAN例
(2) 公衆無線LANの有線部分
無線LANの暗号化は、端末とアクセスポイント間だけのものです。自宅の無線LANなら、そのままインターネットに接続しているものも多いでしょうし、ネットワーク化していても、全て自身の管理下です。公衆無線LANの場合は、そうはいきません。設備側に悪意のある第三者が潜んでいるかもしれません。攻撃を目的としたアクセスポイントや、本物に見せかけた「なりすまし」のアクセスポイントに接続してしまうかも知れません。怪しいものは避け、信頼できるアクセスポイントだけを利用できればいいのですが、都合よくいくとは限りません。
以上、公衆無線LANは常に安全なものが利用できるとは限らないことをご理解いただけたでしょうか。このような危険性をもつ公衆無線LANを安全に利用する解決策として、「SSL/TLS」および「VPN」の利用をご紹介します。
SSL/TLS(Secure Socket Layer/Transport Layer Security)は、データを暗号化してやりとりする仕組みのひとつです。以下の条件下で、接続先のサーバーとブラウザや、メールソフト間の通信内容が全て暗号化されます。
・ブラウザでのWebサイト閲覧時:URLが「https://」で始まる場合。
・メールソフト利用時:接続設定で「SSL」や「SSL/TLS」、「保護された接続」などが設定されている場合。
アプリも大手の主要なものはSSL/TLSに対応していますが、見た目ではわからないので確認しておく必要があります。
SSL/TLSを使った通信では、端末のブラウザやアプリから接続先までの全経路が保護され、盗聴や改ざんを防ぐことができます。指定通りの接続先に接続していることが保証されるので、なりすましも防ぐことがきます。
図3 SSL/TLS接続の暗号化
図4はSSL/TLSを使った暗号化通信中のブラウザのアドレスバー、図5はSSL/TLS通信を利用するメールの接続設定例です。
図4 暗号化通信中のブラウザのアドレスバー
図5 メールの接続設定例
VPN(Virtual Private Network)は、外部から隔離された通信経路として、プライベートなネットワークと同等の利用ができるようにする機能です(図6)。
各社から出ているVPNアプリを利用すると、ほとんど意識することなく簡単に利用でき、端末と各社が用意したVPNサーバー間の全ての通信が暗号化されます。接続先のVPNサーバーが怪しいと元も子もありませんが、多くの人が利用しているセキュリティソフトの会社からも、表2のような製品が提供されています。図7は、VPNアプリを利用したスマホ画面の例です。
表2 セキュリティソフト会社のVPNアプリ
図6 VPN接続の暗号化
図7 VPNアプリ例
スマートフォンやタブレットなどのモバイル端末のほとんどが、VPNクライアントの機能を標準サポートしています。一部の無線/有線のルーターやNAS、WindowsやMacは、VPNサーバーの機能を標準でサポートしています。ハードルは高くなりますが、これらを利用することで出先の端末と自宅間の通信を暗号化し、自宅経由でインターネットを利用することも可能です。
図8 自宅ルーターのVPNサーバー(右)とスマホのVPNクライアント(左)
(執筆:現代フォーラム/鈴木)