ICTソリューション紹介
便利なフリー公衆無線LANだが、「リスク」にも注意を!空港やホテルのロビー、カフェなどに用意されている公衆無線LANのなかには、「誰でも無料で使える」タイプがあります。しかし、その便利さの裏には、リスクも隠れているのです。セキュリティ企業 株式会社ラックのセキュリティアカデミー プロフェッショナル・フェロー・長谷川 長一氏に、公衆無線LANに潜む「リスク」をうかがいました。
有償の無線LANサービスとフリースポットの違いはどこに?
外出先でPCをネットにつなぐときに、一般に開放されている公衆無線LANを活用している方が多くいらっしゃると思います。また通信量制限との兼ね合いでスマホを公衆無線LANにつないで使っている方もいらっしゃいます。本日は、この公衆無線LANのセキュリティ上のリスクと安全に利用するポイントについて、お聞かせください。
-
▲セキュリティアカデミー
プロフェッショナル・フェロー
長谷川 長一氏「公衆無線LANは、大きくふたつのタイプに分けられます。ひとつ目はインターネットプロバイダや携帯電話会社、通信会社などが、自社の顧客向けに提供しているものです。利用にはそれぞれの会社との継続的な契約が必要であったり、利用の都度料金がかかるなど、基本的に有償のプランとなります。こちらは、PCと無線LANのアクセスポイントとの通信を暗号化しています。また同じサービスにつながるPC同士も互いに見えないようにするなど、高いレベルのセキュリティが確保されています。
もうひとつが、空港、ビジネスホテル、カフェといった不特定多数が利用する施設が、顧客サービスの一環として無償で提供している、いわゆるフリースポットで、利用による情報漏洩などのリスクが非常に高くなっているものです」(長谷川氏)
▲利用者同士のセキュリティー相関図
そのリスクを、わかりやすくご説明していただけますか?
「無線LANを使うとき、PCやスマホと無線LANのアクセスポイントとの間で、さまざまな情報がやりとりされます。先ほど申し上げたように、有償の公衆無線LANは情報伝達が暗号化されているため、もし第三者が通信を傍受しても、その中身を読み取ることはできません。しかし通信を暗号化していないフリースポットでは、特別なツールを使えば、その内容を判読することが可能です。つまりやりとりする情報が、そのまま悪意ある第三者に筒抜けになってしまうおそれがあるのです」(長谷川氏)
▲暗号化されていない通信は、悪意のある第三者に盗聴されるリスクがある
インターネットバンキングやカード決済で金銭的被害が
通信の内容が漏れると、具体的にどのような危険性が生じるのでしょう?
「まず、利用者のインターネットを使ったさまざまな行動が丸見えになります。もし悪意ある第三者が盗聴している状況でインターネットバンキングを使うと、銀行の口座番号、パスワードといった、インターネットバンキングを可能とする情報が盗み取られる可能性があります。また通販サイトの買い物でクレジットカード決済を行うと、カードの番号、有効期限、名義人といった情報が流出してしまうリスクがあるのです。こうした情報が、そのまま利用者の金銭的被害につながってしまうというわけです」(長谷川氏)
ではフリースポットの利用では、そうしたオンラインバンキングやクレジットカードを使った決済に気をつけるだけでいいのでしょうか?
「ところがそれだけではないのです。たとえば直接金銭にかかわらない会員制サイトの利用で、ユーザ名とパスワードが盗み取られたとします。同じユーザ名とパスワードを複数のサイトで使っている人は多いので、もし悪意ある第三者がこのユーザ名とパスワードで通販サイトなどにログインを試みれば、かなりの可能性で成功してしまうのです。とくにユーザ名にメールアドレスを指定するサイト同士では、その成功頻度がかなり高くなります。つまり単なる会員制のページの利用でも、最終的に金銭的被害につながる可能性はゼロではないのです」(長谷川氏)
フリースポットを使う際は、そうした会員制のサイトを利用しないなどの配慮も必要なのですね。
「やはりフリースポットは、ニュースサイトを見る、食事や交通機関などの調べ物をするなど、限定的な利用にとどめるべきでしょう。自宅や会社と同じ感覚でフリースポットを使いインターネットを利用すると、前述のような金銭的被害のリスクが高まります。また会社のシステムにログインするなどという行為も厳禁です。その上で、万一を考えて、複数の会員制サービスで同じパスワードを使い回すことは絶対にやめましょう」(長谷川氏)
しかし実際には多くの人が、そうしたことを気にせずにフリースポットを使っているのではないでしょうか。
「空港など一部のフリースポットでは、利用開始時にブラウザの画面にセキュリティ関連の警告を出し、『通信が暗号化されていないこと』を利用者に伝えるようにしています。しかしほとんどの人がそれを気にしていません。そうした盗聴のリスクを知らないこと、そして自分のPCにある情報がそれほど重要だと気づいていないことが背景にあると思われます。悪意ある第三者は、そうしたセキュリティ意識の低さにつけ込んでいるのです。場合によっては、金銭的被害に止まらないケースも考えられます。
また個人経営のカフェにあるフリースポットのように、そうした警告画面もなく、PCの画面上に表示されるアクセスポイントを選ぶだけでネットに接続できるフリースポットもありますが、こちらはさらに危険です。なぜならアクセスポイント名は容易に変更できるため、そのフリースポットがカフェの用意したものでなく、個人情報や機密情報の窃取を目的に、悪意ある第三者が設置したものである可能性があるからです」(長谷川氏)
被害は自社だけでなく、取引先各社へ波及も
とくに業務にからむ情報であれば、どんな些細な情報でも「重要である」と考えなければならないわけですね。
「企業によっては、社員のセキュリティ教育が行き届いており、外出先のフリースポットへの接続禁止など、行ってはならない行為もきちんと規定されています。そしてスマホやモバイルルータを配布し、メールのチェック、会社のシステムへのログインといった業務はこれらの“信頼できる”アクセス手段を利用するよう、定めています。
しかし、まだ数多くの企業が、そこまでのセキュリティ対策がとれないままでいます。他企業からの業務を受託している企業が持つ情報は、悪意ある第三者にとって宝の山です。なぜなら、そこには知財系情報や個人情報が多く含まれている上、そこから得た情報を踏み台にして企業からさらなる情報を窃取できる可能性もあるからです。もしそうした情報がセキュリティ意識の低い社員のフリースポット利用により流出してしまうと、その企業の存亡そのものにもかかわる事態となってしまうでしょう」(長谷川氏)
では、会社からそうしたスマホやモバイルルータの支給がない企業であったとしても、フリースポットで業務がからむネット利用やメールのやりとりは控えるべきなのですね。
「はい。単に無料で使えるからという理由でフリースポットを使うことは、とてもリスクが高いことなのです。経営者や管理職は、そうした意識をしっかり持って、セキュリティ対策の甘いフリースポットの利用をしないといったルール作りをすることが大切だと思います」(長谷川氏)
そのほか、外出先で無線LANを使う際に注意しなければならないことはありますか?
「利用者本人のPCが、他の利用者からどう見えているかということもポイントとなります。ファイル共有を不適切に設定したままで無線LANにつなぐと、こちらの共有フォルダの中身が他の利用者に丸見えになる場合があるのです。また私の経験では、ワイヤレスアドホック(他のコンピュータとファイルやインターネット接続を無線LAN経由で共有するモード)で使っているPCをネットワーク上に見つけたこともあります。この場合も、第三者によりHDD(ハードディスク)内のファイルを盗み取られる可能性が非常に高くなります。そうして盗み取られたファイルそのものが重要なファイルでなくても、会社名や部署、個人名という情報があれば、それは取引先への標的型攻撃(知人や顧客になりすまして接近し、ウイルスを感染させたり、情報を盗み取ったりすること)に有益な情報として使われてしまいます」(長谷川氏)
自分自身だけでなく、会社や取引先も危険にさらしてしまうことになるのですね。
「業務で無線LANを使う場合は、やはり無料のものではなく、通信会社などが展開する有料サービスを選ぶことを強くおすすめします。
また無線LANとは直接かかわりはありませんが、端末の管理にも十分気を配りましょう。PCやスマホを席に置いたままお手洗いに行くなど端末から目を離す行為はやめるべきですし、パスワードやジェスチャによるロックも必ずかけるべきです。もしクラウドに業務データを保存している場合は、端末の盗難により取り返しのできない被害につながりますから」(長谷川氏)
株式会社ラックホームページ
http://www.lac.co.jp関連記事
-
2024.06.25 公開
-株式会社野村総合研究所-
法人キャッシュレス時代到来か!?今から知っておきたいメリットと課題インボイス制度や電子帳簿保存法への対応などで会計業務のデジタル化が一層促進される...
-
2024.02.26 公開
-独立行政法人情報処理推進機構-
ますます必要性が高まる中小企業の情報セキュリティ対策ICTの活用により経営効率が向上した反面、機密情報の漏えいや金銭的損失など、情報...
-
2023.02.27 公開
-株式会社NTTデータ-
eKYCによる安心安全な本人確認が新たなビジネスチャンスにつながる!近年、各種取引においてICTを活用して本人確認を電子的に行う「eKYC(elec...
-
-