ICTソリューション紹介

便利なフリー公衆無線LANだが、「リスク」にも注意を！

空港やホテルのロビー、カフェなどに用意されている公衆無線LANのなかには、「誰でも無料で使える」タイプがあります。しかし、その便利さの裏には、リスクも隠れているのです。セキュリティ企業 株式会社ラックのセキュリティアカデミー プロフェッショナル・フェロー・長谷川 長一氏に、公衆無線LANに潜む「リスク」をうかがいました。

外出先でPCをネットにつなぐときに、一般に開放されている公衆無線LANを活用している方が多くいらっしゃると思います。また通信量制限との兼ね合いでスマホを公衆無線LANにつないで使っている方もいらっしゃいます。本日は、この公衆無線LANのセキュリティ上のリスクと安全に利用するポイントについて、お聞かせください。

「無線LANを使うとき、PCやスマホと無線LANのアクセスポイントとの間で、さまざまな情報がやりとりされます。先ほど申し上げたように、有償の公衆無線LANは情報伝達が暗号化されているため、もし第三者が通信を傍受しても、その中身を読み取ることはできません。しかし通信を暗号化していないフリースポットでは、特別なツールを使えば、その内容を判読することが可能です。つまりやりとりする情報が、そのまま悪意ある第三者に筒抜けになってしまうおそれがあるのです」(長谷川氏)

「まず、利用者のインターネットを使ったさまざまな行動が丸見えになります。もし悪意ある第三者が盗聴している状況でインターネットバンキングを使うと、銀行の口座番号、パスワードといった、インターネットバンキングを可能とする情報が盗み取られる可能性があります。また通販サイトの買い物でクレジットカード決済を行うと、カードの番号、有効期限、名義人といった情報が流出してしまうリスクがあるのです。こうした情報が、そのまま利用者の金銭的被害につながってしまうというわけです」(長谷川氏)

「ところがそれだけではないのです。たとえば直接金銭にかかわらない会員制サイトの利用で、ユーザ名とパスワードが盗み取られたとします。同じユーザ名とパスワードを複数のサイトで使っている人は多いので、もし悪意ある第三者がこのユーザ名とパスワードで通販サイトなどにログインを試みれば、かなりの可能性で成功してしまうのです。とくにユーザ名にメールアドレスを指定するサイト同士では、その成功頻度がかなり高くなります。つまり単なる会員制のページの利用でも、最終的に金銭的被害につながる可能性はゼロではないのです」(長谷川氏)

「やはりフリースポットは、ニュースサイトを見る、食事や交通機関などの調べ物をするなど、限定的な利用にとどめるべきでしょう。自宅や会社と同じ感覚でフリースポットを使いインターネットを利用すると、前述のような金銭的被害のリスクが高まります。また会社のシステムにログインするなどという行為も厳禁です。その上で、万一を考えて、複数の会員制サービスで同じパスワードを使い回すことは絶対にやめましょう」(長谷川氏)

「空港など一部のフリースポットでは、利用開始時にブラウザの画面にセキュリティ関連の警告を出し、『通信が暗号化されていないこと』を利用者に伝えるようにしています。しかしほとんどの人がそれを気にしていません。そうした盗聴のリスクを知らないこと、そして自分のPCにある情報がそれほど重要だと気づいていないことが背景にあると思われます。悪意ある第三者は、そうしたセキュリティ意識の低さにつけ込んでいるのです。場合によっては、金銭的被害に止まらないケースも考えられます。

また個人経営のカフェにあるフリースポットのように、そうした警告画面もなく、PCの画面上に表示されるアクセスポイントを選ぶだけでネットに接続できるフリースポットもありますが、こちらはさらに危険です。なぜならアクセスポイント名は容易に変更できるため、そのフリースポットがカフェの用意したものでなく、個人情報や機密情報の窃取を目的に、悪意ある第三者が設置したものである可能性があるからです」(長谷川氏)

「企業によっては、社員のセキュリティ教育が行き届いており、外出先のフリースポットへの接続禁止など、行ってはならない行為もきちんと規定されています。そしてスマホやモバイルルータを配布し、メールのチェック、会社のシステムへのログインといった業務はこれらの“信頼できる”アクセス手段を利用するよう、定めています。

しかし、まだ数多くの企業が、そこまでのセキュリティ対策がとれないままでいます。他企業からの業務を受託している企業が持つ情報は、悪意ある第三者にとって宝の山です。なぜなら、そこには知財系情報や個人情報が多く含まれている上、そこから得た情報を踏み台にして企業からさらなる情報を窃取できる可能性もあるからです。もしそうした情報がセキュリティ意識の低い社員のフリースポット利用により流出してしまうと、その企業の存亡そのものにもかかわる事態となってしまうでしょう」(長谷川氏)

「はい。単に無料で使えるからという理由でフリースポットを使うことは、とてもリスクが高いことなのです。経営者や管理職は、そうした意識をしっかり持って、セキュリティ対策の甘いフリースポットの利用をしないといったルール作りをすることが大切だと思います」(長谷川氏)

「利用者本人のPCが、他の利用者からどう見えているかということもポイントとなります。ファイル共有を不適切に設定したままで無線LANにつなぐと、こちらの共有フォルダの中身が他の利用者に丸見えになる場合があるのです。また私の経験では、ワイヤレスアドホック（他のコンピュータとファイルやインターネット接続を無線LAN経由で共有するモード）で使っているPCをネットワーク上に見つけたこともあります。この場合も、第三者によりHDD（ハードディスク）内のファイルを盗み取られる可能性が非常に高くなります。そうして盗み取られたファイルそのものが重要なファイルでなくても、会社名や部署、個人名という情報があれば、それは取引先への標的型攻撃（知人や顧客になりすまして接近し、ウイルスを感染させたり、情報を盗み取ったりすること）に有益な情報として使われてしまいます」(長谷川氏)

「業務で無線LANを使う場合は、やはり無料のものではなく、通信会社などが展開する有料サービスを選ぶことを強くおすすめします。

また無線LANとは直接かかわりはありませんが、端末の管理にも十分気を配りましょう。PCやスマホを席に置いたままお手洗いに行くなど端末から目を離す行為はやめるべきですし、パスワードやジェスチャによるロックも必ずかけるべきです。もしクラウドに業務データを保存している場合は、端末の盗難により取り返しのできない被害につながりますから」(長谷川氏)