ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

疑え、無線LAN接続 「暗号化されているから安全」は本当かITの過去から紡ぐIoTセキュリティ(1/3 ページ)

» 2018年07月24日 12時15分 公開
[高橋睦美ITmedia]

 7月初旬、西日本を中心とする豪雨で各地に甚大な被害が発生しました。被災した方々には心よりお見舞いを申し上げます。災害時には水や日用品などいろいろなものが必要になりますが、「情報」も欠かせません。被災者がインターネットで安否を確認したり、生活に必要な情報を収集したりできるよう、携帯電話各社は岡山県、広島県、愛媛県の全域で、公衆無線LANのアクセスポイントを「00000JAPAN」という名称(SSID)で無償開放しました。

 これ自体はすばらしい取り組みだと思いますが、利用に当たっては注意が必要です。総務省は、次のように注意を呼び掛けています

 「通信の暗号化などのセキュリティ対策が講じられておらず、通信内容の盗聴や偽のアクセスポイントを用いた情報の窃取が行われる恐れがあります。そのため、個人情報などの入力は極力避けていただくよう、ご注意をお願いします」

 ただ、この注意内容、半分は当たっていますがやや足りない部分もあるように思えます。

photo 総務省の注意喚起より

連載:ITの過去から紡ぐIoTセキュリティ

 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。

 この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。

公衆無線LANを使うとき、何に注意すべき?

 00000JAPAN以外にも、パスワードを入力することなく誰でも接続でき、しかも通信が暗号化されない公衆無線LANサービスは存在します。ユーザーの利便性を考慮した仕様なのでしょうが、もし悪意を持ったユーザーがアクセスポイントの周辺にいれば、通信をキャプチャーするツールを用いて内容を盗み見ることができてしまいます。

 従って、こうしたパスワードなしの無線LANを利用する場合は最低限の情報収集のみにとどめ、IDやパスワード、個人情報など漏れてはいけない情報をやりとりすべきではありません。もしやむを得ず入力が必要な場合は、URL(アクセス先)を確認し、HTTPSで暗号化されていることを確認した上で行うべきです。

photo 公衆無線LANのセキュリティ上の脅威=総務省「公衆無線LAN セキュリティ分科会 報告書」より

 また、アクセスポイントの名前であるSSIDは、誰でも勝手に名付けることができます。つまり、全く同じ、あるいは非常に紛らわしい名前のSSIDでアクセスポイントを用意しておけば、間違えて接続してきたユーザーの通信内容を把握できてしまうのです。従って、公衆無線LAN利用に当たってはSSIDの名称を確認することも重要です。

photo 偽Wi-Fiスポットの攻撃手口=NTTコミュニケーションズのWebサイトより

 しかも、これまた利便性を重視した結果でしょうが、スマートフォンでは一度使ったアクセスポイントへの自動接続設定が残るようになっています。一度利用した後もそのままにしておくと、いつの間にか誰かが設置した同名の偽アクセスポイントにパスワードなしで自動接続してしまう恐れがあるため、面倒でも使い終わったら設定を削除しておくべきでしょう。

約10年ぶりに登場した新規格「WPA3」、何がポイント?

 ご存じの方も多いと思いますが、公衆無線LANも含め、無線LANのセキュリティにはいくつかのレベルがあります。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.