「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ：セキュリティニュースアラート

「Hacklore」プロジェクトは、いかにも真実かのように語られるが実証性に乏しい安全神話を指す概念「ハックロア（Hacklore）」の見直しを図る書簡を公開した。「公共Wi-Fiの利用回避」など実態に即していない助言に改善策を提案している。

[後藤大地，ITmedia]

　情報セキュリティ分野の実務者らによる「Hacklore」プロジェクトは2025年11月24日（現地時間）、一般市民や雇用主、報道機関、政策担当者に向けて公開書簡を発表した。

　公開書簡の内容は、情報セキュリティ分野において善意に基づいているが、実際には効果が薄い、あるいは誤解を招く時代遅れのセキュリティアドバイスや通説「ハックロア（Hacklore）」の見直しを呼びかけるものだ。なお、ハックロアは「hacking」と「folklore」を組み合わせた造語だ。

　ハックロアの具体例としては、公共Wi-Fiの利用回避やQRコード読取の全面否定などが挙がっている。

「フリーWi-Fiは使うな」　一見真実に思える“安全神話”はもう時代遅れ

　書簡を公表したのは、現職および元CISO（最高情報セキュリティ責任者）や研究者、実務担当者らで構成されているプロジェクトだ。産業界や学術界、政府組織における実際の侵害対応を経験してきた立場から、日常利用者や小規模事業者に関するデジタルリスクの理解に誤解が残っていると指摘し、特定の高危険度人物や大規模標的の事例が注目されやすい状況が、助言の内容を実態以上に厳格なものへ導いたとの認識が示されている。

　書簡では過去に広まったハックロアとして、公共Wi-Fiの利用回避やQRコード読取の全面否定、公共のUSB充電ポートでの充電回避、BluetoothやNFCの常時無効化、定期的なCookie削除、頻繁なパスワード変更を列挙し、現在の技術環境では現実的な被害低減効果が乏しいとしている。暗号化技術やOSの警告機能、端末側の制御が進展した点を踏まえ、利用者の注意資源を過度に消費する助言としている。

　代替策として基本動作の徹底が示されている。主要端末や必須アプリの更新維持、多要素認証（MFA）や2要素認証（2FA）の有効化、長く固有かつランダム性の高いパスフレーズの採用、パスワード管理ツール活用などを推奨事項として挙げている。

　生体認証や端末機能を利用するパスキーについても触れ、フィッシング耐性が高い手段と位置付けている。組織においては、従業員の誤操作が即時に重大な障害に直結しないシステムの実装、従業員の疑わしい挙動を報告しやすい窓口の整備、パスワードを排除した耐フィッシング認証の導入などが推奨事項として提示されている。

　この他、ソフトウェアメーカーには「完全無欠なシステムは存在しない」との前提を置いた上で、脆弱（ぜいじゃく）性の対処をユーザーに求めるのは避け、設計段階から安全性を組み込むセキュアな設計を求めている。暗号化通信の標準化、脆弱性報告制度と報奨制度の整備、CVE情報の完全かつ迅速な公開などを重要事項としている。

　同プロジェクトは、恐怖心より事実に基づく助言への転換を狙いとし、一般利用者や小規模組織が現実的な対策に集中できる環境整備を目標とする姿勢を示している。公開書簡は、従来の注意喚起を全否定する文脈を取らず、最新状況に即した説明の更新を促す構成となっている。Hackloreが公開した書簡の評価には受け手側の理解が欠かせず、助言の受容度や実装状況は今後の周知次第とみられる。