駅構内や空港、カフェをはじめとする飲食店、娯楽施設、病院、宿泊施設など、ここ数年でフリーWi-Fiサービスを提供する場所は急激に増加してきました。
様々な仕事においてはもちろんのこと、情報収集、ゲームをする上でインターネットが主流の昨今において、フリーWi-Fiサービスの有無で足を運ぶかどうかを判断することも珍しくありません。
一方で、フリーWi-Fiにまつわるセキュリティまわりの安全性についても言及されることも多く、「無料だから」「誰でも使えるから」とむやみに接続してしまっている場合は改める必要があるかもしれません。
フリーWi-Fiについて
フリーWi-Fiについて、一度振り返ってみてもいいかもしれません。
そもそもWi-Fiとは、スマートフォンやタブレット、パソコンなどを無線でインターネットに接続させる通信規格の名称です。
つまりフリーWi-Fiは直訳すると“自由なWi-Fi”ということになり、事前に通信キャリアとの契約をする必要なく誰にでも利用が可能なものです。
施設によっては、“公衆無線LAN”や“無料Wi-Fiスポット”といった呼称がされていることがありますが、いずれも同じフリーWi-Fiサービスに当たります。
通常無線でのインターネット接続時はパスワードが要求されますが、フリーWi-Fiは、接続先(SSID)を選択して実行すると簡単に利用することが可能です。(場所によっては該当サービスへの会員登録やSNSとの連携が必要)
フリーWi-Fiサービスを提供している企業は、「スターバックス」や「東京メトロ」などの大手であることが多く、「有名な企業だから安心」と利用するユーザーも少なくありません。
フリーWi-Fiが危ない理由
誰でも無料でインターネット接続ができるフリーWi-Fiですが、昨今取り沙汰される情報漏洩や不正ログインなどのサイバー攻撃に遭遇する可能性がある点も知っておく必要があります。
利用するにあたり、どんなリスクがあるのかを事前に知っておくだけで安全性は大きく変わります。
誰にでも利用可能であることを悪用し、ユーザーの通信内容を不正に傍受されたり、個人情報を窃取される被害ケースが後を絶ちません。
原因はいくつかあるものの、最も大きな理由としては「Wi-Fi接続先の情報の暗号化がされていない」という点が挙げられます。
通信キャリアとの契約によって利用する一般的なインターネット回線は、通信内容が暗号化されています。
これにより、閲覧したwebサイトやメール内容、使用する端末内のデータなどが外部に漏れることなく安全に利用できるのです。
しかし、フリーWi-Fiとして提供されているネットワークは通信内容の暗号化がされておらず、「無料のインターネットへの通信手段を提供しているだけ」である場合がほとんどです。
通信回線に関してある程度の知識があると、暗号化されていない通信内容の傍受はそれほど難しくなく、また通信内容を傍受するための攻撃用ツールなども存在していることから、いつどこで悪意のある攻撃者のターゲットにされるかわかりません。
なお、このような悪意のある攻撃者による通信内容の情報窃取を“中間者攻撃”と呼びます。
こうした状況を踏まえてフリーWi-Fiサービスを提供している企業側も注意喚起を行っており、例えば、スターバックスや東京メトロは、ユーザーに対し事前に提供しているWi-Fiサービスの通信が暗号化されていないとして、「機密性の高い情報を扱う際はセキュリティを適用の推奨」や「通信内容を傍受され個人情報を盗み見される可能性」について事前に情報開示をしています。
また、Wi-Fi接続時にもSSIDには注意を払う必要があります。
悪意のある攻撃者が正規のSSIDに偽装したWi-Fiアクセスポイントを設置して待ち構え、誤ってアクセスしてきたユーザーの情報を盗むという手口が存在します。
以上のことから、フリーWi-Fiにはリスクが存在していることを心得て、ユーザーごとでセキュリティへの意識をもって利用することが必要です。
フリーWi-Fiへのセキュリティ対策
フリーWi-Fi利用時のリスクがあるからといって利用を今後断ち切る必要はなく、適切なセキュリティ対策を実施しておくことで飛躍的に安全性を高めることが可能です。
中間者攻撃による被害に遭う可能性を突き詰めた際、対策のポイントとなるのは「ネットワークの安全性」です。
しかしながら、上述したようにフリーWi-Fiのほとんどのネットワークは暗号化されておらず、利用時はリスクが伴うことを念頭に置いた利用が必要となります。
これを鑑みてユーザー側でできる対策は大きくは以下2つが挙げられます。
① 機密性の高い情報を扱わない
フリーWi-Fiは不特定多数のユーザーが利用していることから、悪意のある攻撃者が紛れ込んでいる可能性があるのは記述したとおりです。これにより、自ずと機密性の高い個人情報や業務で使用する企業情報、パスワード、クレジットカード情報などのやり取りは、そのままリスクになるため取り扱わないようにするのが無難です。
② webサイトにセキュリティが適用されているか確認
webサイトを閲覧した際、ページのURLの冒頭に緑色で「https」の表記があるかを確認します。
表記があるページはSSL化(データの暗号化され、盗聴や改ざんを防ぐ仕組み)されているため、当該ページ内で入力した情報などは安全性が保たれている目安になることと、正規サイトとフィッシング詐欺を目的にした偽装ページとの見分けにもなります。
これら2つの対策方法は、ユーザー側で少し意識するだけですぐにでも実施できるものです。
重要な情報を取り扱う際はフリーWi-Fiとの接続を解除し、正規契約している通信キャリアをはじめとした信用できるネットワークに切り替えるといった使い分けをするだけでも、立派なセキュリティ対策です。
また、使用端末のソフトウェアを最新のものに維持したり、セキュリティアプリケーションを適用することも非常に効果的です。