無料Wi-Fiスポットでのメールやカード決済は禁忌

(1/1)

メール受信は禁忌

インターネット
世の中便利になったもので、あちらこちらに公衆無線LAN、いわゆるWi-Fiスポットが出現。スマホやノートPCを持ち歩いていれば、いつでもどこでもインターネットに接続できるようになりました。

一方で、暗号化されていないWi-Fiスポットや、Wi-Fiの暗号を破るツールが出回っています。こうしたWi-Fiスポットでパスワードを盗まれる危険性が高まっています。
Wi-Fiの電波は簡単に傍受することができるので、フリーで出回っているツールを使えば、あなたが、どのサイトでどんな情報をやり取りしているのか、すべて盗聴されてしまいます。
WEPWPAで暗号化されていないWi-Fiスポットでは、Webサーフィンにとどめておくのが無難です。

とくに、暗号化されていないWi-Fiスポットでメールを受信することは禁忌です。
メール受信サーバ(POP3サーバ)にログインするためのパスワードは、多くの場合、平文で送られます。つまり、暗号化されいない場合、あなたのメール・パスワードを簡単に盗むことができるのです。

2014年(平成26年)8月26日、日本経済新聞は次のように報じました
成田、関西、神戸の3空港が提供する無料の公衆Wi-Fiサービスでインターネットを利用した場合、送信したメールの宛先や中身、閲覧中のウェブサイトのURLを他人がのぞき見できる状態になることが26日、神戸大大学院の森井昌克教授(情報通信工学)の実地調査で確認された。
実地調査した森井教授は、自身のブログに「ご意見、感想を頂いているのですけど「空港、無線LANメール丸見え … 回答はここで。」と補足しています。
また、暗号化方式についても、64(40)bitのWEPでは、その原理上、フリーのツールを使って6時間程度で解読できてしまうことが分かっています。
2010年(平成22年)11月、東京・秋葉原では、誰でも簡単にWEPを解読できるハードウェア「ANTCOR AW54-SC」(アリ戦車)が販売されていることが分かりました。7千円前後で入手できるようです。

基地局を疑う

では、128(104)bitのWEPやWPAを施したWi-Fiスポットなら安全かというと、そうとも言い切れません。
ベースステーションやルータといったネットワーク機器に盗聴ツールを仕掛けられたら、無線が暗号化されていても無意味です。そして、盗聴ツールが仕掛けられているかどうかは、あなたのPCから確認することができません。

これはWi-Fiだけでなく、有線LANを提供しているホテルや公共施設でも同じことが言えます。

ほとんどの業者はこのような不正行為はしないでしょうが、もしかするとパートやアルバイトが盗聴行為をしているかもしれません。Etherケーブルとパソコンがあれば、簡単に盗聴できるのですから。いつ、どこで、あなたの通信が漏れたかを証明することはほとんど不可能である以上、法的手段に訴えて出るのも困難です。

フリーWi-Fiへの依存状況

2017年(平成29年)7月13日、シマンテックは、フリーWi-Fiのリスクとその使用実態を調査した「ノートン Wi-Fiリスクレポート」(2017年版)を発表した。

レポートでは消費者が、手軽で安定した接続が見込めるフリーWi-Fiを使用する傾向があることを示している。フリーWi-Fiで個人用の電子メールアカウントやソーシャルメディアアカウントにアクセスしたり、あるいは銀行口座やクレジットカードなどの情報をやり取りしたりといった“リスクのある行動”を取ったことがあるという回答が87%にも上った。

特に注目すべきは、日本と世界のセキュリティー意識対する違いだ。フリーWi-Fi接続の安全性に対する質問では、日本の結果は世界平均とは真逆の「危険」が61%。にも関わらず、フリーWi-Fiで71%が何らかのリスクのある行動を取ったことがあると回答している。
また、若年層の間に「ギガが減る」という言葉があることを紹介。モバイルデータの通信容量が減ることを指すもので、フリーWi-Fiを積極的に利用する理由としている。

東京五輪を目指して増える無料Wi-Fiスポット

2020年(令和2年)の東京五輪・パラリンピックでは、多くの海外旅行客が訪れることから、無料Wi-Fiスポットの整備が進んでいます。
たとえばNTT-BPが運営している「Japan Connected-free Wi-Fi」は、東京メトロ全線を含む、首都圏の14万箇所以上で無料Wi-Fiが利用できます。

だが、玉石混淆の既存Wi-Fiスポットを流用しているため、セキュリティが心配です。アクセスポイントによってはSSLによる暗号化がかかっていないところもあります。
スマホやPCにVPNアプリを導入するなど、自衛策をとりましょう。

大手ホテルの公共PCにマルウェア

2014年(平成26年)7月、米国の大手ホテルで公共のPCにマルウェアが仕込まれ、利用客のパスワードや決済情報が大量に盗み出されているのが見つかりました。
容疑者は、盗んだクレジットカードを使ってホテルの利用客として登録し、ビジネスセンターにある公共のPCを使ってキーロガー型マルウェアにアクセスしていたといいます。

ダークホテルとは

2014年(平成26年)11月、カスペルスキー研究所は、Wi-Fiからホテル宿泊者の機密情報を盗み取る「ダークホテル」と呼ばれる攻撃手口を発見したと発表した。

犯人はホテルのシステムやネットワークに侵入し、ウイルス感染させる。宿泊者がWiFi接続した後にソフトウエアの更新を装った画面を表示し、インストールさせる仕組み。宿泊者を取り込んでしまうと標的かどうか判別してから、機密情報を抜き取ってしまうという。
対策としては、知らないソフトやアプリはインストールしないことが大事だ。また、Wi-Fiに接続する際は信頼できるVPNを経由すべきとしている。

カスペルスキー研究所の調査では、世界でダークホテルに感染した端末の3分の2にあたる2000台余りが日本で見つかったとしている。
韓国による産業スパイの可能性もあり、個人情報や機密情報を扱うビジネスマンは要注意だ。
ITmedia,2014年12月12日より

ハイアット・ホテルにマルウェア

パーク・ハイアット・サイゴン
米高級ホテル大手のハイアット・ホテルズは、2015年(平成27年)に同社ホテルチェーンの半分近くでマルウェア感染があり、クレジットカードの個人情報が流出した可能性があると発表した。

マルウェア感染があったのは318拠点で、クレジットカード所有者の氏名、カード番号、有効期限、セキュリティコードを盗み出すよう設計されていたという。
これとは別に、ウイルスセキュリティ国内大手のBKAV社のシステムセキュリティ専門家は、高級ホテルの無料WiFi利用に警戒するよう呼び掛けている。
ほとんどのホテルが情報セキュリティに十分な注意を払っておらず、利用者が被害を受ける恐れがあると指摘する。

外出先でのメールはモバイル・ルーター

Wi-Fiスポットや公共PCを使ってのメールやクレジットカード決済は避けるべきです。
どうしても外出先でメールのやりとりが必要になったら、モバイル・ルーターやスマートフォンを使い、自分が管理する端末で契約先のプロバイダに直接アクセスするようにしましょう。絶対に安全というわけではありませんが、Wi-Fiスポットを利用するよりはるかに安全です。

どうしてもフリーWi-Fiを使う場合

フリーWi-Fi
とはいえ、海外などでモバイル・ルーターやスマートフォンのローミングができず、どうしてもフリーWi-Fiを使わなければならない局面があるでしょう。そのときの注意事項を列挙しておきます。
1)SSL通信にこだわる
ホームページの閲覧は httpsサイトのみ、メールも SMTP over SSL などのセキュア通信で行うこと。少なくとも、盗み見されるリスクは下がります。

2)AirDropをOFFに
iPhoneとAndroidやWindowsの間で AirDrop によるファイル共有を設定している場合は、これをOFFにしておきましょう。盗み見されるリスクが下がります。

3)会社や決済サイトにアクセスしない
たとえSSL通信にしても、通信相手のIPアドレスは筒抜けになります。会社のファイルサーバや、ショッピングサイトの決済サイトにはアクセスしない方がいいでしょう。サイトのIPアドレスをつかまれ、サイバー攻撃されるリスクが高まるためです。会社で VPN通信を用意していれば、これらのリスクは抑えることができます。

4)有名なフリーWi-Fiを使う
観光ガイドなどに掲載されているような、有名なフリーWi-Fiを使いましょう。このとき、Wi-Fiの契約条件にも目を通しておいてください。英語で何が書いてあるか分からないときは、接続しないのが無難です。
なお、有名なフリーWi-Fiによく似たSSIDを展開している偽スポットも存在します。注意してください。

参考サイト

(この項おわり)
header