先日のセレチケは、猫ちゃん桃子ちゃん(スマイルキャットランド)にしました。
猫ちゃん王国の王女様か国家元首やってそうな衣装が最高にお似合いで最高です。
そんな桃子ちゃんですが、彼女はプロだから、仕事の打ち合わせにカフェを上手に使いこなすそうです(ミリシタのオフショット参照)。
かわいい。
ということは、桃子ちゃんとPはカフェのフリーwifiを使用することが十分に考えられるわけですが…
フリーwifiは他人のものなので、やはりそれなりのリスクが考えられます。
サイバー攻撃から桃子ちゃんのステージを守るためにも…
フリーwifiのリスクについて、いくつか考えてみたという趣旨の記事となっております。
前置き
- この記事において「フリーwifi」とは、施設運営者などによって提供され不特定多数が利用するwifiのことを指すことにします(ex. カフェのwifi、電車のwifiなど)。
- 「◯◯の技術があるからこういう攻撃は難しいだろ!」とか「普通◯◯の設定になってるから時間的に突破するの難しいだろ!」などのツッコミはとりあえずなしで…
こういうことが起こり得るかもへーぐらいの感じで見て頂けると幸いです。 - この記事で扱うのは、フリーwifiを使う上で考えるべきリスクについてです。フリーwifiだろうと自宅の回線だろうと関係なく対策が必要な、ゲートウェイから外の世界については扱いません。
- 誰でもわかるを目指して書いているので、厳密には違う表現があります。
- セキュリティに絶対はありません。
結論
例えば、以下のようなリスクがあります。
- 通信経路の間に入ってあれこれされ、情報漏洩や不正送金が発生するリスク(中間者攻撃)
- 通信内容を盗み見られ、情報が漏洩するリスク
- 端末に不正アクセスされ、情報が漏洩するリスク
- どのサイトにアクセスしたか見られるリスク
間に入ってあれこれされる(中間者攻撃)
まず1つ目は、利用者とサイトの間に入ってあれこれされちゃうリスクです。
偽のアクセスポイントを設置し、利用者に使わせることで、間に入ることができちゃいます。
考えられるシナリオ
例えば、こんなシナリオが考えられるでしょう。
- ある日、桃子ちゃんとPは次のライブについて打ち合わせをするために、空猫珈琲店へやってきました。
- Pは店内で案内されている「soraneko_wifi」というアクセスポイントに接続しようとします。しかし、接続しようとすると「soraneko_wifi(secure)」というアクセスポイントもあったので、こっちへ接続することにしました。
- Pは打ち合わせ中、企画書(nextlive.docx)を編集するため、クラウドサービス(Myaocrosoft765)にログインしました。その際、普段から使っているデスクトップのショートカット(数年前に作った)をクリックしてアクセスしました。
また、ログイン画面がいつもとちょっと違う気がしましたが、ログインできたので気にせず続行しました。 - 数日後、企画書が漏洩していることが判明しました。
原因
ここで、マズかったのが以下の2点です。
1.偽のアクセスポイントに接続してしまった
お店が用意している正規のアクセスポイントは「soraneko_wifi」ですが…Pは攻撃者が用意した偽のアクセスポイント「soraneko_wifi(secure)」に接続してしまいました。
この時、端末~インターネットまでの通信経路を簡単に示すとこのようになります。
間に攻撃者が入り込んでしまっています。
攻撃者は、ここから色々な攻撃へ繋げることができるので、なまらまずいべさ。
<できることの一例>
- 攻撃者が用意した偽のサイトに誘導し、認証情報を抜き取る
- 利用者がネットバンキングで送金する際、送金先や金額をいじって任意の口座へ不正送金する
- SNSや掲示板で攻撃者が利用者になりすまして、不正に書き込む
※実際には、WEBサイト側に脆弱性があるとか、検証に不備があるとか、その他いくつかの条件が揃う必要があります。
今回は、攻撃者が用意した偽のログイン画面に誘導され、そこにID/パスワードを入れてしまったために、認証情報を抜き取られてしまいました。
後日、攻撃者は奪取した認証情報でMyaocrosoft765へ不正にログインし、企画書ファイルをDLしたと推測できます。
また、今回はわかりやすく偽のアクセスポイントは違う名前となっていますが、もちろん本物と全く同じ名前にすることもできます。
こうなると、本物か偽物かを利用者が判別するのは非常に困難です。
2.HTTPで接続してしまった
もう一つマズかったのが、HTTPで接続してしまったことです(シナリオの3番の部分)。
HTTPSで接続すれば、接続先が正規な相手かどうか検証が行われるので、罠に気づくことができました。
HTTPS(HTTP over SSL)について
HTTPSとは、「TLS」や「QUIC」というわんだほーな技術を使って安全にwebサイトとやりとりができる接続方法(スキーム)です。
ブラウザの鍵マーク(🔒️)のことだと思って頂けると良いと思います。
- 通信内容の暗号化(端末からwebサーバーまで、E2Eで暗号化)
- 接続先が正規な相手かどうかの検証
- 内容の改ざん検知
といった機能があり、従来のHTTPより安全に接続できます。
また、現在(2024年9月)この接続方法はかなり広く普及しており、たいていのサイトはHTTPで接続しようとすると、自動的にHTTPSで接続してくれるようになっています(リダイレクト)。
例えばGoogleによると、2024年8月31日にChromeを使って日本で読み込まれたWebページのうち、94%はHTTPSに対応していたというデータがあります。
参考:
Google(2024)『Google透明性レポート ウェブ上での HTTPS 暗号化』https://transparencyreport.google.com/https/overview?hl=ja
しかし、今回PはHTTPでアクセスしてしまいました。
普段アクセスするのにつかっているデスクトップのショートカットが、数年前に作っていたこともあり、HTTPで接続するURLになってしまっていたからです(”http://myaocrosoft765.local”)。
普段からwebサイト側で自動的にHTTPSでアクセスするようにしてくれていたので、特に気にしてきませんでしたが…
今回は攻撃者が用意した偽ページだったので、そのままHTTPでアクセスし、罠であることを検知できなかったという経緯になります。
HTTPSで接続していたら、「接続先が正規な相手かどうかの検証」機能で以下のような検証エラーをブラウザが出してくれるので、偽ページであることに気づくことができたはずです。
対策
攻撃者が正規のものと全く同じ設定のアクセスポイントを設置した場合、判別は難しいので、偽のアクセスポイントに接続してしまう恐れがある場合にやるべき対策についてご紹介します。
1.HTTPSで接続する
HTTPSで接続しましょう。
検索エンジン経由でアクセスする場合は、ほぼほぼHTTPSで接続するURLを教えてくれるので、意識せずとも大丈夫ですが、今回のようにブックマークを使用している場合や、URLを自分で直打ちする場合などには、”https://”から始まることを確認して、接続しましょう。
2.VPNを使う
VPNについては後項を参照。
通信内容を盗み見られる
2つ目は、通信内容を盗み見られ、情報が漏洩するリスクです。
電波でやりとりする区間(アクセスポイントと端末間)の暗号化が不十分で、かつ通信内容自体が暗号化されていない場合に起こり得ます。
考えられるシナリオ
例えば、こんなシナリオが考えられるでしょう。
- ある日、桃子ちゃんとPは打ち合わせのために、空猫珈琲店へやってきました。
- Pは店内で案内されている「soraneko_wifi」というアクセスポイントに接続しました。
接続する時、パスワードは特に必要ありませんでした。 - Pは打ち合わせ後、次のイベントのスケジュールに関する未公開情報が含まれたファイルを、メールに添付して取引先に送りました。
- 数日後、情報が漏洩していました。
原因
マズかったのは、以下の2点です。
1.暗号化されていない・不十分なwifiに接続してしまった
シナリオの2番の部分でパスワードが不要だった点からわかる通り、暗号化されていないwifiに接続してしまいました。
暗号化されていないということは、端末とアクセスポイントの間(電波の区間)で通信内容がそのまま(平文)でやりとりされているということです。当然、盗聴のリスクがあります。
また、暗号化が不十分な場合でも同じことが起こり得ます。
以下は、フリーwifiで使われる暗号化の規格たちです。
規格名 | 暗号化アルゴリズム・方式 | 安全性 |
---|---|---|
WEP | RC4 | X |
WPA | TKIP・AES | X |
WPA2(TKIP) | TKIP | X |
WPA2(TKIP/AES mixed mode) | TKIP・AES | X |
WPA2(AES) | AES | O |
WPA3 | AES | O |
※厳密には、TKIPは暗号化の方式、AES・RC4は暗号化アルゴリズムのこと。
脆弱性が発見されているRC4とTKIPを使った規格を使用している場合も、解読が比較的容易であり、盗聴のリスクがあります。
そのほか、WPA2でも「KRACK」という脆弱性が既に発見されているほか、不特定多数がパスワードを知っているフリーwifiでは、一部解析できることがあるらしい。
参考:
日経クロステック(2023)『正規のフリーWi-Fiでも油断は禁物、暗号化の方式や範囲を確認しよう』
https://xtech.nikkei.com/atcl/nxt/column/18/02635/110700003/
しかし、まだ主流はWPA2のため、出来ればWPA3、最低でもWPA2(AES)、どちらも対応していなければ使用を控えるべきかもしれません。
2.通信内容も暗号化されていなかった
とはいえ、wifiが暗号化されていなかったからといって、直ちに通信内容が漏洩するわけではありません。
たいていの場合、HTTPSで接続するなどして、通信内容そのものが暗号化されているからです(HTTPSについては、前項参照)。
郵便で例えるなら、はがきをイメージして頂くとわかりやすいでしょうか。
はがきは封筒で包まれているわけではないので、誰でも内容を見れてしまいます。しかし、そもそも内容が当人たちにしかわからなければ、問題ありません。
しかし、今回の場合は、通信内容も暗号化されていませんでした。
メールの送信に使われる「SMTP」という規格が、暗号化せずに内容を送信する仕様だからです。
ブラウザでwebページを閲覧するときは、鍵マークがあれば暗号化されてる!ついてなければされてない!という風にわかりやすいのである程度気をつけることができますが…
今回のメールのように、それ以外の場面で知らず知らずのうちに平文のまま内容を送信しているということがあるので、注意が必要です。
対策
1.暗号化されていない・不十分なwifiは使用しない
暗号化されていない・不十分なwifiは使用しないのが良いでしょう。
前述のとおり、出来ればWPA3、最低でもWPA2(AES)、どちらも対応していなければ使用を控えるという判断です。
具体的には、端末が通知を出してきたら、無視せず使用を控えるという対策です。
例えばiOSなら、WPA2(AES)・WPA3以外だったらメッセージが表示されるようです。
参考:
バッファロー(2024)『iPhoneをWi-Fiルーターに無線接続すると「安全性の低いセキュリティ」と表示されます(iOS 14)』
https://www.buffalo.jp/support/faq/detail/124144517.html
2.VPNを使う
どうしても暗号化されていないwifiを使う必要がある場合は、VPNを使って、通信内容をまるっと暗号化するのも手です。
VPNについては後項を参照。
端末に不正アクセスされる
3つ目は、端末に不正アクセスされ、情報が漏洩するリスクです。
設定が不適切だと、内部にアクセスする扉を不正にRat a Tat!されちゃいます。
考えられるシナリオ
- ある日、Pはリモートワークのために、WindowsのPCを持って空猫珈琲店へやってきました。
- Pは店内で案内されている「soraneko_wifi」というアクセスポイントに接続しました。
その際、「プライベートネットワーク」の設定を選んで接続しました。また、PCには社用クレジットカードの情報が入っていました。 - Pは仕事が終了後、帰りました。
- 次の月、美咲さんが社用カードの利用明細を見て、不正にたくさんLOVEされた形跡を発見しました。
原因
ファイアウォールについて、不適切な設定を選んでしまったことが原因です。
端末には、「ファイアウォール」という端末への不正アクセスを防いでくれる壁や扉のようなものがあります。
通常、初期設定で適切な設定になっていることが多いので、意図的に緩めない限り普段気にすることはありませんが…
Windowsの「ネットワークプロファイル」機能(プライベートネットワークとパブリックネットワークを選べるやつ)のように、簡単に設定を緩める機能があったりします。
ファイル共有機能のように、外部からのアクセスを受け付ける機能を普段からONにしている場合、注意が必要です。
今回の場合は、普段からファイル共有機能がONになっている上で、「プライベートネットワーク」の設定を選んでしまったため、Rat a Tat!されてしまいました。
対策
ファイアウォールの設定を必要以上に緩めないように気を付けましょう。
例えばWindowsなら、フリーwifiに接続するときは「プライベートネットワーク」ではなく「パブリックネットワーク」の設定を選ぶといった対策になります。
ちなみに…
実際のところは、うっかりパブリックネットワークを選んでしまったとしても、不正にアクセスできないようになっていることの方が多いです。
wifi側(ルーター)に、利用者の端末同士の通信を防ぐ機能(プライバシーセパレーター機能などと呼ばれる)があるためです。
ただ、これは事業者サイドでやる対策であり、設定されていない場合ももちろんあるので、過信しないようにした方が良いかと思います。
どのサイトにアクセスしたか見られるリスク
これは知られたからといって直ちに被害が発生されるわけではないので、気持ちの問題ですが…
「DNS」というインターネットの仕組み上、利用者が「どのサイトにアクセスしたか」という情報を、フリーwifiだと設置者などが調べようと思えば調べることができます。
(Web”ページ”ではなく、Web”サイト”である点に注意)
例えるなら、タクシードライバーがお客さんをイオンまで乗せた時、「このお客さんがイオンに行くことはわかっても、どのテナントに行くのかまではわからない」みたいな感じでしょうか。
イオンに行くことをドライバーに知られたからといって何か直接的な不都合があるわけではありませんが、なんとなく気分的にいやだと感じる方がいたり、間接的になんらかの問題が発生するかもしれません。
DNS(Domain Name System)とは
「ドメイン名」と「IPアドレス」を変換する仕組みのことです。
インターネットの世界では、「IPアドレス」という数字やアルファベットの羅列が住所の役目を担いますが、それらは人間にとって分かりづらく、扱いにくいです。
そのため、人間がわかりやすいよう各アドレスに「ドメイン名」と呼ばれる名前がついており、URLにこれを入力することで、各サイトへ行けるようになっています。
例えばこのサイトなら、”www.palsha.jp”がドメイン名です。
しかし、前述した通り、インターネットの世界ではIPアドレスが住所になりますので、このままでは通信ができません。
そこで、IPアドレスとドメイン名を変換するのが、DNSという仕組みになります。
端末が2つの情報を知っている人(DNSサーバー)に「このドメインのIPアドレスを教えて」と聞きに行き、サーバーに調べてもらったのを教えてもらうのが基本的な流れです。
※実際は、DNSサーバー(DNSキャッシュサーバー)がインターネット上のDNSコンテンツサーバーへ問い合わせをするなどの処理も入ります。
ところでこのDNS…
その通信内容は、基本的に暗号化されていません。
なので、フリーwifiを使用していると、どのサイトにアクセスしたか?を設置者などが調べようと思えば、調べられるわけです。
まぁこれは…
家の回線を使っていても特段気にしなければISP提供のDNSサーバーを使っているわけですし、インターネットの仕組み的にそういうものだと割り切るものかなぁという感じがします。
対策
設置者に知られたからどうこうというわけではありませんが…
アイドルちゃんたちのステージを守るために高いセキュリティ意識をお持ちの同僚の皆さまに、対策をご紹介いたします。
1.パブリックDNSでDoHを使う
DoHとは「DNS over HTTPS」の略であり、従来平文のまま行われたDNSの通信を、暗号化できる技術です。
GoogleやCloudflare(あまり名前を聞くことはありませんが、皆さまもよくお世話になっているはず)が提供しているDNSサーバーを使えば、誰でも無料でこの恩恵を享受できます。
参考:
INTERNET Watch(2021)『Windows 11で可能になったパブリックDNS利用時のDoHによる暗号化を試す』
https://internet.watch.impress.co.jp/docs/column/shimizu/1367271.html
2.VPNを使う
VPNについては後項を参照。
VPNについて
最後に、対策として複数回登場したVPN(Virtual Private Network, 仮想専用通信網)についてもご紹介します。
VPNとは
VPNは、インターネットのような不特定多数が利用する回線を使う際でも、安全に相手と通信ができるようにする技術です。
通信内容を暗号化したり、宛先を隠したりすることで、あたかも専用回線を使っているかのように通信できます。
これをフリーwifiを利用する際に併せて使うと、攻撃者は暗号化されていない内容を含め、通信内容を盗み見ることができなくなったり、間に入って細工することが難しくなったりします。
例えるなら、通信経路に専用のトンネルを作って通信するイメージです。
簡単に表すと、通信経路は以下のようになります。
対策として記載した各リスクに対しては、以下のような効果が期待できます。
- 間に入ってあれこれされる(中間者攻撃)
- →攻撃者はいろいろ細工することが困難になるので、HTTPで接続していたとしても偽サイトへ誘導されたり、通信内容を改ざんされるリスクが減る
- 通信内容を盗み見られる
- →通信内容がまるっと暗号化されるので、HTTPで接続するなど元々の内容が暗号化されていなくても、盗み見られるリスクが減る
- どのサイトにアクセスしたか見られる
- →DNSの通信もまるっと暗号化されるほか、フリーwifiの設置者側で用意したDNSサーバーを使わずに済むので、どのサイトにアクセスしたか見られるリスクが減る
※VPNにはいろいろ種類や方式があり、厳密には期待できる効果が種類によって異なります。
(SSL-VPN、IPsec-VPNのトンネルモード、トランスポートモード…などなど)
現実的な話
そんな便利なVPNですが、使用するにはちょいとハードルが…
使用するには個人向けの有料VPNサービスを利用するか、自分でVPNサーバーを立てるかという選択になると思いますが
- VPNサービスを利用する
→だいたい月500~1500円のコストがかかる - 自分でサーバーを立てる
→だいたい月500~1000円くらいのコストがかかる(VPSを借りる場合。自宅に立てるなら不要)
→構築がまぁまぁめんどい。自分で面倒を見る必要がある。
と金銭や手間の面で少しハードルがあります。
Pixel7以降とGoogle VPNのように(それなりに)信頼できるサービスがおまけで利用できたり、他の用途で既にサーバーを持っていたりしたら費用はかからないので気軽ですが、いきなりよくわからんものに月1000円近く払うというのは、なかなか…
基本的には、各リスクの項目で紹介しているもう一方の対策を実施頂くのが、良いのではないでしょうか!
まとめ
フリーwifiを利用する際に考えられるリスクと対策として、以下のような例があります。
- 通信経路の間に入ってあれこれされ、情報漏洩や不正送金が発生するリスク(中間者攻撃)
→HTTPSで接続する
→VPNを使う - 通信内容を盗み見られ、情報が漏洩するリスク
→暗号化されていない・不十分なwifiは使用しない
→VPNを使う - 端末に不正アクセスされ、情報が漏洩するリスク
→ファイアウォールの設定を必要以上に緩めない - どのサイトにアクセスしたか見られるリスク
→DoHを使う
→VPNを使う
そして、桃子ちゃんはかわいい(最重要項目)。
仕事でカフェを使いこなす”大人な”桃子ちゃんの素敵なステージをプロデュースする上で、この記事が皆さまの参考になれば幸いです♪
ぜ!
コメント