無料Wi-Fiスポットでのメールやカード決済は禁忌

Wi-Fiの電波は簡単に傍受することができるので、フリーで出回っているツールを使えば、あなたが、どのサイトでどんな情報をやり取りしているのか、すべて盗聴されてしまいます。
WEPやWPAで暗号化されていないWi-Fiスポットでは、Webサーフィンにとどめておくのが無難です。

とくに、暗号化されていないWi-Fiスポットでメールを受信することは禁忌です。
メール受信サーバ（POP3サーバ）にログインするためのパスワードは、多くの場合、平文で送られます。つまり、暗号化されいない場合、あなたのメール・パスワードを簡単に盗むことができるのです。

2014年（平成26年）8月26日、日本経済新聞は次のように報じました。

成田、関西、神戸の3空港が提供する無料の公衆Wi-Fiサービスでインターネットを利用した場合、送信したメールの宛先や中身、閲覧中のウェブサイトのURLを他人がのぞき見できる状態になることが26日、神戸大大学院の森井昌克教授（情報通信工学）の実地調査で確認された。

実地調査した森井教授は、自身のブログに「ご意見、感想を頂いているのですけど「空港、無線LANメール丸見え … 回答はここで。」と補足しています。

また、暗号化方式についても、64(40)bitのWEPでは、その原理上、フリーのツールを使って6時間程度で解読できてしまうことが分かっています。
2010年（平成22年）11月、東京・秋葉原では、誰でも簡単にWEPを解読できるハードウェア「ANTCOR AW54-SC」（アリ戦車）が販売されていることが分かりました。7千円前後で入手できるようです。

では、128(104)bitのWEPやWPAを施したWi-Fiスポットなら安全かというと、そうとも言い切れません。
ベースステーションやルータといったネットワーク機器に盗聴ツールを仕掛けられたら、無線が暗号化されていても無意味です。そして、盗聴ツールが仕掛けられているかどうかは、あなたのPCから確認することができません。

これはWi-Fiだけでなく、有線LANを提供しているホテルや公共施設でも同じことが言えます。

ほとんどの業者はこのような不正行為はしないでしょうが、もしかするとパートやアルバイトが盗聴行為をしているかもしれません。Etherケーブルとパソコンがあれば、簡単に盗聴できるのですから。いつ、どこで、あなたの通信が漏れたかを証明することはほとんど不可能である以上、法的手段に訴えて出るのも困難です。

2017年（平成29年）7月13日、シマンテックは、フリーWi-Fiのリスクとその使用実態を調査した「ノートン Wi-Fiリスクレポート」（2017年版）を発表した。

レポートでは消費者が、手軽で安定した接続が見込めるフリーWi-Fiを使用する傾向があることを示している。フリーWi-Fiで個人用の電子メールアカウントやソーシャルメディアアカウントにアクセスしたり、あるいは銀行口座やクレジットカードなどの情報をやり取りしたりといった“リスクのある行動”を取ったことがあるという回答が87％にも上った。

特に注目すべきは、日本と世界のセキュリティー意識対する違いだ。フリーWi-Fi接続の安全性に対する質問では、日本の結果は世界平均とは真逆の「危険」が61％。にも関わらず、フリーWi-Fiで71％が何らかのリスクのある行動を取ったことがあると回答している。
また、若年層の間に「ギガが減る」という言葉があることを紹介。モバイルデータの通信容量が減ることを指すもので、フリーWi-Fiを積極的に利用する理由としている。

2020年（令和2年）の東京五輪・パラリンピックでは、多くの海外旅行客が訪れることから、無料Wi-Fiスポットの整備が進んでいます。
たとえばNTT-BPが運営している「Japan Connected-free Wi-Fi」は、東京メトロ全線を含む、首都圏の14万箇所以上で無料Wi-Fiが利用できます。

だが、玉石混淆の既存Wi-Fiスポットを流用しているため、セキュリティが心配です。アクセスポイントによってはSSLによる暗号化がかかっていないところもあります。
スマホやPCにVPNアプリを導入するなど、自衛策をとりましょう。

2014年（平成26年）7月、米国の大手ホテルで公共のPCにマルウェアが仕込まれ、利用客のパスワードや決済情報が大量に盗み出されているのが見つかりました。
容疑者は、盗んだクレジットカードを使ってホテルの利用客として登録し、ビジネスセンターにある公共のPCを使ってキーロガー型マルウェアにアクセスしていたといいます。

2014年（平成26年）11月、カスペルスキー研究所は、Wi-Fiからホテル宿泊者の機密情報を盗み取る「ダークホテル」と呼ばれる攻撃手口を発見したと発表した。

犯人はホテルのシステムやネットワークに侵入し、ウイルス感染させる。宿泊者がWiFi接続した後にソフトウエアの更新を装った画面を表示し、インストールさせる仕組み。宿泊者を取り込んでしまうと標的かどうか判別してから、機密情報を抜き取ってしまうという。
対策としては、知らないソフトやアプリはインストールしないことが大事だ。また、Wi-Fiに接続する際は信頼できるVPNを経由すべきとしている。

カスペルスキー研究所の調査では、世界でダークホテルに感染した端末の3分の2にあたる2000台余りが日本で見つかったとしている。
韓国による産業スパイの可能性もあり、個人情報や機密情報を扱うビジネスマンは要注意だ。

これとは別に、ウイルスセキュリティ国内大手のBKAV社のシステムセキュリティ専門家は、高級ホテルの無料WiFi利用に警戒するよう呼び掛けている。
ほとんどのホテルが情報セキュリティに十分な注意を払っておらず、利用者が被害を受ける恐れがあると指摘する。

Wi-Fiスポットや公共PCを使ってのメールやクレジットカード決済は避けるべきです。
どうしても外出先でメールのやりとりが必要になったら、モバイル・ルーターやスマートフォンを使い、自分が管理する端末で契約先のプロバイダに直接アクセスするようにしましょう。絶対に安全というわけではありませんが、Wi-Fiスポットを利用するよりはるかに安全です。

1）SSL通信にこだわる
ホームページの閲覧は httpsサイトのみ、メールも SMTP over SSL などのセキュア通信で行うこと。少なくとも、盗み見されるリスクは下がります。

2）AirDropをOFFに
iPhoneとAndroidやWindowsの間で AirDrop によるファイル共有を設定している場合は、これをOFFにしておきましょう。盗み見されるリスクが下がります。

3）会社や決済サイトにアクセスしない
たとえSSL通信にしても、通信相手のIPアドレスは筒抜けになります。会社のファイルサーバや、ショッピングサイトの決済サイトにはアクセスしない方がいいでしょう。サイトのIPアドレスをつかまれ、サイバー攻撃されるリスクが高まるためです。会社で VPN通信を用意していれば、これらのリスクは抑えることができます。

4）有名なフリーWi-Fiを使う
観光ガイドなどに掲載されているような、有名なフリーWi-Fiを使いましょう。このとき、Wi-Fiの契約条件にも目を通しておいてください。英語で何が書いてあるか分からないときは、接続しないのが無難です。
なお、有名なフリーWi-Fiによく似たSSIDを展開している偽スポットも存在します。注意してください。

• Wi-Fiスポットを狙うフィッシング詐欺：ぱふぅ家のホームページ
• Japan Connected-free Wi-Fi
• 公衆Wi-Fiを利用する時に知っておくべき３つのこと：トレンドマイクロ，2014年4月23日
• Wi-Fiのメール丸見え 成田・関西・神戸の3空港：日本経済新聞，2014年8月26日
• アリ戦車 ANTCOR AW54-SC　試してみました！：興味津々