コンビニやカフェ、レストラン、ホテル、公共機関など、いたるところで誰でも利用できる無料の「フリーWi-Fi」が提供されています。スマホのデータ通信量を節約し、「ギガ不足」を解消してくれるありがたい存在ですが、便利さの陰には危険が潜んでいるものです。ほとんどの「フリーWi-Fi」が抱える危険性と、安全に使うための方法をご紹介します。
■WPA2方式――家庭では安全だが「フリーWi-Fi」では危険
家庭のWi-Fi(無線LAN)は、最も堅牢なWPA2(Wi-Fi Protected Access 2)という暗号化方式を使用していれば安全といわれています。家庭などで一般に使われている安全なWPA2は、「WPA2パーソナル」や「WPA2-PSK(AES))」と呼ばれているもの。この方式は、現時点では破られていないので、盗聴される心配がありません。このため、フリーWi-FiもWPA2なら安全と考えられがちですが、フリーWi-Fiの場合は少々事情が異なります。
●その理由は? 「暗号キー」の役割に注目 アクセスポイントに接続する場合、たいてい接続するアクセスポイント(Wi-Fiスポット/親機)の「ネットワーク名(SSID)」と「暗号化方式」、暗号化に使用する「暗号キー」を設定します。ネットワーク名は、周囲で稼働中のアクセスポイント一覧から選択するかもしれません。アクセス先を選択して暗号キーを設定すると、利用可能な暗号化方式が自動的に選択されて接続します。Wi-Fi接続に使う暗号キーは、スマートフォンのWi-Fi設定で「パスワード」と表記されていることが多いようです(図1)。
▲図1 スマートフォンのWi-Fi設定(左:iPhone、右:Android)。
①ネットワーク名(SSID) ②暗号化方式 ③暗号キー
●フリーWi-Fiは「暗号キーが漏れた状態」と同じ
家庭内では、親機に設定したものと同じ暗号キーを、家族全員で共有します。家族に攻撃を仕掛ける悪意のある者がおらず、暗号キーが外部に漏れていなければ、通信内容を盗聴されたり、家庭内LANに侵入されたりすることはありません。
ところが、暗号キーが外部に漏れてしまうと、それを入手した悪意のある第三者によって暗号が解読され、通信内容を盗聴される可能性が出てきます。アクセスポイントに同じネットワーク名と暗号キーを設定すると、偽のアクセスポイントに仕立て上げることができます。アクセスポイントに接続しようとする端末は、設定されたネットワーク名のアクセスポイントを探し、設定された暗号キーを使って接続しようとします。両方が合っていると、本物も偽物も区別できないので、偽物におびき寄せられ接続させられてしまう事態になるかもしれません。
同じ暗号キーを不特定多数の人と共有するタイプのフリーWi-Fiは、上述のように「暗号キーが漏れた状態」と同じなのです。WPA2であっても安全ではなく、盗聴の危険や、偽アクセスポイントに接続してしまう危険があります。
フリーWi-Fiは「暗号キーが漏れた状態」と同じ
フリーWi-Fiのほとんどは、「暗号化なし」「弱い暗号化方式を使用」「暗号キーを共有」のいずれかであるので、ほとんどが危険ということになります。携帯回線のオプションサービスや、有料のWi-Fiスポットであっても安全とは限りません。安全に使うためには、次に述べる「安全なアクセスポイント」だけを意識して使うか、危険があるという前提で安全な使い方をするようにしましょう。
◆「安全なアクセスポイント」を使用する
WPA2のアクセスポイントの中には、「WPA2エンタープライズ」「WPA2-EPA」「802.1x EPA」などと呼ばれるものがあります。これらは、前述のネットワーク名(SSID)と暗号キーではなく、ユーザーIDとパスワードや、回線情報を記録したSIM、電子証明書などを使用し、ユーザーや端末を個別に認証します。暗号キーは個別のものを使用するので、盗聴される心配はありません。
大手携帯キャリアが提供するアクセスポイントでは、NTTドコモの「0001docomo」、auの「au Wi-Fi 2」、ソフトバンクの「0002Softbank」がこのタイプの安全なアクセスポイントです。フリー(無料)ではありませんが、利用できる方は、これらだけを使うようにするのも、安全策のひとつになるでしょう。
なお、キャリアが提供しているアクセスポイントの「アプリセット情報」や「自動設定アプリ/プロファイル」を使用すると、利用できるアクセスポイントが一括登録できます。その中には、安全ではないアクセスポイントの情報も含まれているので、そのままでは安全ではない接続先にも接続してしまう可能性があります。不要な接続先を削除するか、あらかじめ安全なものだけを設定するようにしましょう 。混在したまま使う場合には、次に述べる「危険を前提とした安全な使い方」もご一読ください。
◆「危険を前提とした安全な使い方」を知る
フリーWi-Fiは、自身が設置した自宅のWi-Fiと違い、素性の分からないアクセスポイントに接続するのですから、危険が潜んでいることを前提として、その危険を避ける安全な使い方を知り、実行することが大切です。
東京五輪に向けて整備が進められている公共機関のフリーWi-Fiや、昨年始まった新幹線のフリーWi-Fi、災害時にアクセスポイントを無料で開放する「00000JAPAN」(ファイブゼロ・ジャパン)など、暗号化なしのアクセスポイントは多数あります。たとえ暗号化されていなくても、使い方を誤らなければ、安全に利用することができます。以下に述べる対策をとり、便利なものは積極的に使いましょう。
◆“何もしない”対策――最小限の利用にとどめる
「通信内容が盗聴されているかもしれない」ことを前提に、盗聴されてまずいことは“何もしない”方法です。接続中は、会員サイトにログインしたり、クレジットカード情報などの重要情報を入力したりすることは控えます。
盗聴だけでなく、偽のアクセスポイントやWebサイトに接続させられたり、改ざんされた内容を見せられたりするかもしれません。常にその可能性を考えて閲覧しましょう。何かをダウンロードしようとしたら拒否し、絶対に開いてはいけません。
こうして“何もしない”ことは、対策とはいえないとお叱りを受けそうですが、後述する対策が難しい方は、利用を最小限にとどめることが自衛策となります。なお、いくら注意して自衛していても、アプリが勝手にログインしたり、重要なメールやメッセージなどを受信したりしてしまうかもしれません。その対策については、後編で述べる「安全性が高いスマホアプリを使う」「メールアプリの設定に注意」を参照してください。
◆インターネットの標準的暗号化通信である「SSL/TLS」を使う
Wi-Fiの暗号化は当てにせず、別の暗号化を使うことで盗聴を防ぐ方法です。インターネットの標準的な暗号化通信に「SSL/TLS」と呼ばれるものがあります。Webブラウザで閲覧する際に、「http:」にSecureの「s」を入れた「https:」で始まるURLを使い、アドレスバーに錠前マークが表示される接続のことです(図2)。この暗号化通信では、ブラウザと接続先のWebサイト間の通信内容が全て暗号化されるので、途中で盗聴されることがありません。
▲図2 暗号化通信中のブラウザのアドレスバー。左:iPhoneのSafari、右:AndroidのChrom
悪意のあるアクセスポイントを使うと、正しいURLを入力しても偽サイトに誘導されてしまうことがあります。そのような場合も、暗号化通信なら偽物を見抜くことができます。
暗号化通信では、接続先のWebサイトが、アドレスバーに表示されるドメインの持ち主が運営していることを証明するサーバー証明書を持っています。ブラウザは、それを自動的に確認し、問題がない場合だけ接続します。正しいURLであるにも関わらず、接続先が正当な証明書を持っていない場合には、ブラウザは図3のような表示でユーザーに警告します。
▲図3 暗号化通信で正しいURLの接続先が偽サイトだった場合の警告。左:iPhoneのSafari、右:AndroidのChrom
問題なく接続でき、アドレスバーに錠前マークと公式サイトの正しいドメイン名が表示されていれば本物、それ以外は偽物と判断できます。錠前マークが表示されない場合には、アドレスバーのURLの先頭を「https://」にして再接続してみましょう。先頭が「http://」ならそれを置き換えます。接続先が暗号化通信に対応していれば、これで暗号化通信が有効になります。
必ず暗号化通信を使い、アドレスバーの確認を怠らなければ、どのようなアクセスポイントを使っても、安全に利用することができるのです。
次回は後編として、フリーWi-Fiを安全に使うためのメールアプリの設定方法、VPN(Virtual Private Network:仮想プライベートネットワーク)の使い方をご紹介します。
(現代フォーラム/鈴木)