第32回「通信経路に不安がある場合に気をつけたいこと」:研修で教えてくれない!
喫茶店――。「今、どうやってネットに接続してる?」「この店で使える無線LANですけど……」「いつもと変わらないように使ってるみたいだけど、大丈夫か?」
大手総合商社・メデア商事の新人・小林ケンタは、客先からの帰りに先輩・高柳ワタルとカフェでコーヒーを飲みながら休んでいた。おもむろにPCを取り出し、メールのチェックをし始めた小林に高柳が声をかけた。
高柳 今、どうやってネットに接続してる?
小林 この店で使える無線LANですけど……。
高柳 ふ〜ん。何だかいつもと変わらないように使ってるみたいだけど、大丈夫か?
小林 大丈夫、って? 何がですか?
公衆無線LANやホテルのインターネット接続など、家や職場以外でインターネット接続を利用できるサービスは一般的になりつつあり、そのため、あたかも家や職場にいるときと同じような「感覚」で使っている人も多いのではないだろうか。
しかし、このようなインターネット接続サービスを使うときには、特に気にしなければならない点があるのだ。
小林 う〜ん。ぱっと思いつくのは、無線LANの場合は盗聴の危険性があるってことでしょうか……。
高柳 そうだ。特に公衆無線LANの場合は、ニセのアクセスポイントに接続してしまって通信を傍受されてしまう危険性は必ずつきまとう。それに無線でなくてもホテルのインターネット接続なら、配線の途中に盗聴するための機器が取り付けられている危険性もあり得る。
小林 でも、そんなことを言ったら、家や職場のネットワークだって、どこに盗聴用の機器が挟まれてるか分からないじゃないですか。盗聴される危険性さえ気にしていれば、それでいいんじゃないですか? 少なくとも、盗み見られて困るような情報はネットワークに送信しないとか。
高柳 でもそれだけじゃダメなんだ。
多くのWebサイトはcookieを用いて、利用者のページ移動情報を受け取っている。そのため、通信を傍受されてcookieの情報が盗み見られると、アクセスしているサイトとの間でニセの情報をやり取りさせられる可能性がある。
高柳 もちろんすべてのWebサイトが、SSLやTLSなどプロトコルで通信を暗号化していて、cookieも暗号化に対応していればいいんだけど、そうはなっていないからな……。
小林 う〜ん。そのあたりは僕には難し過ぎます(苦笑)
高柳 ちなみにSSLで通信が暗号化されている場合は、WebサイトのURLの冒頭が、通常の「http:」ではなく「https:」で始まっているので、難しいというのであれば、その部分だけでも注目したほうがいいかもな。
通信経路が信用できないネットワークの場合、盗聴の危険があることはもちろん、ニセのドメイン情報によって、ユーザーは正しいURLでアクセスしているにも関わらず、実際にはニセのサイトに接続させられてしまう可能性があるのだ。これはフィッシング詐欺にも利用される手法でもある。
この場合、単なるニセサイトでニセの情報を見せられるだけでなく、ブラウザの脆弱性を悪用して、アクセスしただけでマルウェアに感染してしまうサイトに誘導されてしまう可能性もあるのだ。
小林 それも普通に家や職場のネットワークを使っていても気をつけなければならないことですけど、その危険性が高まるってことなんですね。外でインターネットなんか使えないんですね……。
何も分かっていないなら、使わない方が無難なのは確かだ。しかし、現実問題として、さすがにそういうわけにもいかない。
まず、外でインターネットを使う場合(本来ならどんなネットワーク環境からインターネットを使う場合であっても)、正規のサイトとして信用できるのはURLが「https」から始まるWebサイトで、しかもブラウザが警告メッセージを出さないものだけという「当たり前のこと」を普段以上に意識することが大事だ。
例えば、外で利用するときのために、普段利用しているブックマークの中でhttpsでサービスを提供しているものを別にしておくといいかもしれない。
どうしてもhttpのWebサイトにアクセスしなければならない場合は、そのサイトがニセサイトである可能性があること、そのためアクセスすることでウイルス感染する可能性もあり得ることを常に意識しておく必要がある。
この場合、リスクを完全に回避することはできないが、当たり前のこととして、ウイルス検知ソフトの利用や、JavaScriptやActivXの無効化など「リスク軽減策」は最低限施しておいた方がいい。また、ブラウザに保存されているcookieをこまめに削除するのも、ある程度の効果が期待できるだろう。
小林 なんだか、怖いです……。
高柳 ちょっと脅かしすぎたかな(苦笑)。でもこれは本来ならば、家や職場のネットワークを使う上でも同じく気をつけなければならないことなんだけどな。
著者紹介 山賀正人(やまが・まさひと)
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築などコンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。