無料Wi-Fiスポットでのメールやカード決済は禁忌

(1/1)

メール受信は禁忌

インターネット
世の中便利になったもので、あちらこちらに公衆無線LAN、いわゆるWi-Fi スポットが出現。スマホやノート PC を持ち歩いていれば、いつでもどこでもインターネットに接続できるようになりました。

一方で、暗号化されていない Wi-Fi スポットや、Wi-Fi の暗号を破るツールが出回っています。こうした Wi-Fi スポットでパスワードを盗まれる危険性が高まっています。
Wi-Fi の電波は簡単に傍受することができるので、フリーで出回っているツールを使えば、あなたが、どのサイトでどんな情報をやり取りしているのか、すべて盗聴されてしまいます。
WEPWPAで暗号化されていない Wi-Fi スポットでは、Web サーフィンにとどめておくのが無難です。

とくに、暗号化されていない Wi-Fi スポットでメールを受信することは禁忌です。
メール受信サーバ(POP3 サーバ)にログインするためのパスワードは、多くの場合、平文で送られます。つまり、暗号化されいない場合、あなたのメール・パスワードを簡単に盗むことができるのです。

2014 年(平成 26 年)8 月 26 日、日本経済新聞は次のように報じました

成田、関西、神戸の 3空港が提供する無料の公衆Wi-Fi サービスでインターネットを利用した場合、送信したメールの宛先や中身、閲覧中のウェブサイトの URL を他人がのぞき見できる状態になることが 26 日、神戸大大学院の森井昌克教授(情報通信工学)の実地調査で確認された。


実地調査した森井教授は、自身のブログに「ご意見、感想を頂いているのですけど「空港、無線LAN メール丸見え … 回答はここで。」と補足しています。
また、暗号化方式についても、64(40)bit の WEP では、その原理上、フリーのツールを使って 6 時間程度で解読できてしまうことが分かっています。
2010 年(平成 22 年)11 月、東京・秋葉原では、誰でも簡単に WEP を解読できるハードウェア「ANTCOR AW54-SC」(アリ戦車)が販売されていることが分かりました。7 千円前後で入手できるようです。

基地局を疑う

では、128(104)bit の WEP や WPA を施した Wi-Fi スポットなら安全かというと、そうとも言い切れません。
ベースステーションやルータといったネットワーク機器に盗聴ツールを仕掛けられたら、無線が暗号化されていても無意味です。そして、盗聴ツールが仕掛けられているかどうかは、あなたの PC から確認することができません。

これは Wi-Fi だけでなく、有線LAN を提供しているホテルや公共施設でも同じことが言えます。

ほとんどの業者はこのような不正行為はしないでしょうが、もしかするとパートやアルバイトが盗聴行為をしているかもしれません。Ether ケーブルとパソコンがあれば、簡単に盗聴できるのですから。いつ、どこで、あなたの通信が漏れたかを証明することはほとんど不可能である以上、法的手段に訴えて出るのも困難です。

フリーWi-Fiへの依存状況

2017 年(平成 29 年)7 月 13 日、シマンテックは、フリー Wi-Fiのリスクとその使用実態を調査した「ノートン Wi-Fi リスクレポート」(2017 年版)を発表した。

レポートでは消費者が、手軽で安定した接続が見込めるフリー Wi-Fi を使用する傾向があることを示している。フリー Wi-Fi で個人用の電子メールアカウントやソーシャルメディアアカウントにアクセスしたり、あるいは銀行口座やクレジットカードなどの情報をやり取りしたりといった“リスクのある行動”を取ったことがあるという回答が 87%にも上った。

特に注目すべきは、日本と世界のセキュリティー意識対する違いだ。フリー Wi-Fi 接続の安全性に対する質問では、日本の結果は世界平均とは真逆の「危険」が 61%。にも関わらず、フリー Wi-Fi で 71%が何らかのリスクのある行動を取ったことがあると回答している。
また、若年層の間に「ギガが減る」という言葉があることを紹介。モバイルデータの通信容量が減ることを指すもので、フリー Wi-Fi を積極的に利用する理由としている。

東京五輪を目指して増える無料Wi-Fiスポット

2020 年(令和 2 年)の東京五輪・パラリンピックでは、多くの海外旅行客が訪れることから、無料 Wi-Fi スポットの整備が進んでいます。
たとえば NTT-BP が運営している「Japan Connected-free Wi-Fi」は、東京メトロ全線を含む、首都圏の 14 万箇所以上で無料 Wi-Fi が利用できます。

だが、玉石混淆の既存 Wi-Fi スポットを流用しているため、セキュリティが心配です。アクセスポイントによっては SSL による暗号化がかかっていないところもあります。
スマホや PC に VPN アプリを導入するなど、自衛策をとりましょう。

大手ホテルの公共PCにマルウェア

2014 年(平成 26 年)7 月、米国の大手ホテルで公共の PC にマルウェアが仕込まれ、利用客のパスワードや決済情報が大量に盗み出されているのが見つかりました。
容疑者は、盗んだクレジットカードを使ってホテルの利用客として登録し、ビジネスセンターにある公共の PC を使ってキーロガー型マルウェアにアクセスしていたといいます。

ダークホテルとは

2014 年(平成 26 年)11 月、カスペルスキー研究所は、Wi-Fi からホテル宿泊者の機密情報を盗み取る「ダークホテル」と呼ばれる攻撃手口を発見したと発表した。

犯人はホテルのシステムやネットワークに侵入し、ウイルス感染させる。宿泊者が WiFi 接続した後にソフトウエアの更新を装った画面を表示し、インストールさせる仕組み。宿泊者を取り込んでしまうと標的かどうか判別してから、機密情報を抜き取ってしまうという。
対策としては、知らないソフトやアプリはインストールしないことが大事だ。また、Wi-Fi に接続する際は信頼できる VPN を経由すべきとしている。

カスペルスキー研究所の調査では、世界でダークホテルに感染した端末の 3 分の 2 にあたる 2000 台余りが日本で見つかったとしている。
韓国による産業スパイの可能性もあり、個人情報や機密情報を扱うビジネスマンは要注意だ。
ITmedia,2014 年 12 月 12 日より

ハイアット・ホテルにマルウェア

パーク・ハイアット・サイゴン
米高級ホテル大手のハイアット・ホテルズは、2015 年(平成 27 年)に同社ホテルチェーンの半分近くでマルウェア感染があり、クレジットカードの個人情報が流出した可能性があると発表した。

マルウェア感染があったのは 318 拠点で、クレジットカード所有者の氏名、カード番号、有効期限、セキュリティコードを盗み出すよう設計されていたという。
これとは別に、ウイルスセキュリティ国内大手の BKAV社のシステムセキュリティ専門家は、高級ホテルの無料 WiFi 利用に警戒するよう呼び掛けている。
ほとんどのホテルが情報セキュリティに十分な注意を払っておらず、利用者が被害を受ける恐れがあると指摘する。

外出先でのメールはモバイル・ルーター

Wi-Fi スポットや公共 PC を使ってのメールやクレジットカード決済は避けるべきです。
どうしても外出先でメールのやりとりが必要になったら、モバイル・ルーターやスマートフォンを使い、自分が管理する端末で契約先のプロバイダに直接アクセスするようにしましょう。絶対に安全というわけではありませんが、Wi-Fi スポットを利用するよりはるかに安全です。

どうしてもフリーWi-Fiを使う場合

フリーWi-Fi
とはいえ、海外などでモバイル・ルーターやスマートフォンのローミングができず、どうしてもフリー Wi-Fi を使わなければならない局面があるでしょう。そのときの注意事項を列挙しておきます。
1)SSL通信にこだわる
ホームページの閲覧は https サイトのみ、メールも SMTP over SSL などのセキュア通信で行うこと。少なくとも、盗み見されるリスクは下がります。

2)AirDrop を OFF に
iPhone と Android や Windows の間で AirDrop によるファイル共有を設定している場合は、これを OFF にしておきましょう。盗み見されるリスクが下がります。

3)会社や決済サイトにアクセスしない
たとえ SSL通信にしても、通信相手の IP アドレスは筒抜けになります。会社のファイルサーバや、ショッピングサイトの決済サイトにはアクセスしない方がいいでしょう。サイトの IP アドレスをつかまれ、サイバー攻撃されるリスクが高まるためです。会社で VPN通信を用意していれば、これらのリスクは抑えることができます。

4)有名なフリー Wi-Fi を使う
観光ガイドなどに掲載されているような、有名なフリー Wi-Fi を使いましょう。このとき、Wi-Fi の契約条件にも目を通しておいてください。英語で何が書いてあるか分からないときは、接続しないのが無難です。
なお、有名なフリー Wi-Fi によく似た SSID を展開している偽スポットも存在します。注意してください。

参考サイト

(この項おわり)
header