【3分it】vol.20_Wi-Fiに潜む危険性とは？_複製元（終わったら削除）

疲れ様です！情報システム部の 佐久間です。
今回の3分ITは、Wi-Fiの利用について、注意すべきことを確認したいと思います。

公共の場所や飲食店で「フリーWi-Fi（ワイファイ）」を使える場所が増えてきました。
しかし、フリーWi-Fi で インターネット接続することは、利便性が高い反面、危険性も高いことをご存知でしょうか？
先ず「フリーWi-Fiを利用するリスク」について確認しましょう。

フリーWi-Fiとは、原則、”無料”で”不特定多数の人々”が”自由に利用する”ことが出来る”Wi-Fiアクセスポイントサービス”を指します。
公衆無線LAN、無料Wi-Fiスポットやホットスポットなどと呼ばれることもあります。

フリーWi-Fi サービスは、さまざまなところで提供されているので、普段、プライベートで、ファーストフードやカフェチェーンの各店内、遊興施設やホテル等で利用している方も多いと思います。

ただし、PMKでは、業務用PC及び業務端末iPhone/iPad等の社用の各情報デバイスで、許可の無いネットワークであるフリーWi–Fiサービスに接続することは禁止しています。

何故、フリーWi-Fiサービスの利用を禁止されているのでしょう？
改めて、その危険性を確認していきましょう。

暗号化されていないフリーWi-Fiでは、通信が盗聴、のぞき見される可能性があります。

通信内容が暗号化されていないと利用者が閲覧しているWebサイトのURLや履歴、メールの内容などを、同じフリーWi-Fiに接続している第三者が簡単に取得できます。
通信内容を傍受しているのが悪意ある人物だった場合、偽サイトに誘導するためのメールを送りつけるなどしてウイルスに感染させる、パスワードを盗むといった攻撃を加えることも考えられます。

正規のフリーWi-Fiと同名、または似たネットワーク名のアクセスポイントである「なりすましアクセスポイント」に接続したために、情報を抜き取られるなどの被害に遭うケースがあります。

「なりすましアクセスポイント」は、悪意ある人物が盗聴、のぞき見、端末の乗っ取りなどを目的として仕掛けた巧妙な罠です。
例えば、フリーWi-Fiサービスがある店内に貼り出されているネットワーク名（SSID）を見てフリーWi-Fiサービスを利用するためにWi-Fi設定を開くと、複数の同じネットワーク名が並んでいる場合があります。このとき、そのうちのどれかは悪意ある者が設定した「なりすましアクセスポイント」である可能性があります。
この様にフリーWi-Fiと同じ若しくは似たようなSSIDを設定した偽のアクセスポイントは「Evil Twins（悪魔の双子）」と呼ばれています。

また、暗号化されているフリーWi-Fiサービスでも、多くの場合、暗号化キーは何らかの形で公開されています。
暗号化キーがわかれば、暗号化されていないのと同じように通信内容が解読可能となるため、実際の危険度は変わりません。
とくに店舗内などに「SSID」と「暗号化キー」どちらも貼り出されているようなフリーWi-Fiは要注意です。

フリーWi-Fiに接続すると、具体的にどの様な危険性があるのでしょうか？

　・メールやSNSなどの通信内容を見られてしまう。漏れてしまう。
　・ネットバンキングやショッピングサイト等のログイン情報やクレジットカードの情報が盗まれてしまう。悪用されてしまう。
　・SNSアカウント、メールアドレスやパスワードを盗まれる。乗っ取られて悪用されてしまう。
　・Webサイトのアクセス先を強制的に変更されて、悪意のある偽サイトに誘導される。
　・コンピュータウィルス・マルウェアを送り込まれる。他のネットワークに接続した時、他のデバイスに感染を拡大してしまう。
　・端末を遠隔操作されてしまう。悪用の踏み台にされてしまう。

実際、「X（…旧Twiiter）」や「Instagram」のSNSアカウントが乗っ取られた！…ネットバンキングやクレジット情報が盗まれて、覚えのない預金引出しや請求があった！
…等々の被害をよく聞くと思います。
ハッカーは、無防備なフリーWi-Fiに接続している情報セキュリティ意識の低い利用者をターゲットとして、常に狙っています。

先ず、ハッカーがターゲットにするのは、重要な情報を扱う不特定多数の人々が使う可能性が高いフリーWi-Fi サービスを狙います。

そのターゲットとなるのが、ビジネスホテルやリゾートホテルのフリーWi-Fiです。ビジネスホテルやリゾートホテルの館内フリーWi-Fiの利用者は、重要な情報を持っている可能性が高いからです。ホテル館内のフリーWi-Fiを狙って、個人情報や機密情報等、接続したPCやスマホのデータを抜き取ってしまう「Darkhotel（ダークホテル）」と命名されているウィルス･マルウェアも存在します。

出張等でホテル・旅館に宿泊する際、ホテル館内サービスのフリーWi-Fiに接続は、決して行わない様にしましょう。

いかがですか？…如何にフリーWi-Fi を利用することは危険性が高いことを認識いただけたかと思います。

フリーWi-Fi にPCやスマホを接続することは、不特定多数の人が接続している同一のネットワークに繋ぐことになります。
その不特定多数が自由に接続できるネットワーク環境には、その利便性から情報セキュリティの概念はありません。
フリーWi-Fi に接続することは、自ら危険なネットワークに入ることであることを認識してください。

PMKのルールで、業務用PC及び業務端末iPhone/iPad等の各情報デバイスのフリーWi-Fi接続を禁止されている理由をご理解いただければと思います。

リモートワークの際に自宅の無線Wi-Fi 環境を使用している方は多いと思います。
しかし、Wi-Fiという目に見えないものを使用しているということは、自分の知り得ない第三者による不正アクセスのリスクも生じていることになります。
自宅Wi-Fi環境のリスク対策・安全に使うためのポイントについて考えてみましょう。

PMKのリモートワークは、原則、自宅個室での在宅勤務がルールです。その際、利用するネットワーク環境は自宅のネットワーク環境の利用を許可しています。
その在宅勤務での自宅ネットワーク環境は、近年のWi-Fi機器の普及から、Wi-Fi環境にしている方も多いのではないでしょうか？
特に最近のWi-Fiルーターは、ネットワーク環境の存在などをあまり意識しなくてもネットワークを利用できるようになっています。

Wi-Fiルーターへの接続は、WPS（Wi-Fi Protected Setup）やAOSS（AirStation One-Touch Secure System）といった簡単な接続設定で、ほぼ知識なしでも初期設定は完了してしまいます。ただ、その簡単に使える「Wi-Fi」という可視化できないアクセス手段を使用すると言うことは、裏を返せば、自身が見えないところでも知らない人がアクセスできるということでもあります。つまり、不特定多数の者による不正アクセスのリスクが生じているということになります。

Wi-Fiルーターを介すれば、同一ネットワーク内のユーザー間で、端末、およびルーターの設定次第ではファイルの共有も可能になります。
同一ネットワーク内のユーザー間でデータ・ファイルの共有が可能な状態は、もし、他人が自宅のネットワークに接続できれば、データ・ファイルの共有が可能な状態になってしまうと言うことです。
ファイルの共有機能は、本来便利なものですが、悪意のある第三者によって悪用されてしまうと、データを盗み出される可能性があります。
貸与された業務用PCや業務端末を自宅のWi-Fiネットワークに接続することで、情報漏えいが起こる可能性があるというリスクをしっかりと認識していただきたいと思います。

先ず、自宅Wi-Fi環境におけるセキュリティ対策は、「接続させない」、「接続されても制御させない」、「暗号化してデータを読ませない」がポイントになります。

Wi-Fiルーターの圏内にあるネットワーク機器には、接続可能なアクセスポイントの「SSID」が通知されます。

その「SSID」を、例えば「(個人名)_home_wifi」のような、個人を類推できてしまう命名は避けましょう。
仮にWi-Fiルーターの所有者を知り得たユーザーが、所有者の個人情報から暗号化キーを推測するというようなこともできてしまうためです。
もちろん、暗号化キーも住所・電話番号や誕生日等の個人情報が絡む文字列にすべきではありません。

また、機種によっては製造元や機種の名称に関連する文字列がSSIDに含まれていることがあります。
その場合はすぐに、原形をとどめない名称へ変更しておきましょう。

仮にそのWi-Fiルーターの脆弱性が発覚した場合、その機種を狙った攻撃のターゲットとなりかねないからです。その製造元のWi-Fiルーターに脆弱性が見つかった場合、悪意のある第三者はツールを用いてその機器を探し出します。
また、SSIDステルス機能を利用してアクセス先の候補として常に表示させないようにする方法もあります。ただし、端末が検出されることは防げないため、この方法でセキュリティリスクが根本的に解消されるわけではないことに注意しましょう。

工場出荷時の初期設定のままで無線LANルーターを利用するのも避けましょう。

無線LANルーターの中には、初期設定ユーザーID・パスワードが機種ごとに一律で設定されているものが少なからず存在します。
そのうえ、機種によってはマニュアルがインターネットで公開されており、パスワードを誰でも知ることができるようになっている場合もあります。
そのため、悪意のある第三者が機種名を把握できれば、管理画面へ侵入して設定を書き換える可能性もあります。

少なくともログイン用のパスワードだけでも、複雑で推測できないものに変更しておきましょう。

接続に使用するWi-Fiのセキュリティ方式について、WPA3を利用を推奨します。

WPA3はWPA2で大きな懸念とされたKRACK（Key Reinstallation AttaCKs）と呼ばれた脆弱性を、SAEハンドシェイクの技術を採用したことで解消しています。
この技術により、ブルートフォース攻撃などのパスワード突破を狙う攻撃の被害を防いでいます。
WPA3はWi-Fi6から対応された新しいセキュリティ規格で、最近の機種では多くのものが採用しています。

今後、新たなルーターを購入する場合は、WEPやWPA2の規格のみ対応している機種はお勧めできません。
価格を重視するあまり、中古のWi-Fiルーターを調達してリモートワークに使用するといったことは避けましょう。

Wi-Fiルーターは、その製造元が、機能改善やセキュリティ向上のためにファームウェアをアップデートすることがあります。
ほとんどの機種の場合、Wi-Fiルーターの設定画面にアクセスすると現在使用しているファームウェアのバージョンを確認できるので、もし最新版がリリースされていたらアップデートしておきましょう。
最近のルーターでは自動でファームウェアをアップデートする機能が搭載されている機種が多くを占めるため、自動アップデート機能を有効にしておくことで、アップデート漏れを防ぐことができます。

昨今のスマホの普及もあって、インターネットへの接続は有線ではなく無線が基本というユーザーがほとんどではないでしょうか？
その結果、Wi-Fiルーターを用いたインターネット接続は、スマホと同様にキャリア通信回線へ直結するとみなしてしまいがちです。
Wi-Fi 接続も、一つのネットワークでルータを経由してインターネットに接続していることを強く認識しておきましょう。
同一のネットワークに接続するPCやスマホなどが、マルウェアに感染していれば、他のPCやスマホに感染が広がるリスクがあります。

こうした事態を防ぐために、「ゲストポート機能」を利用することを1つのアイデアとしてご紹介します。
ゲストポート機能とは、ホームネットワークと分離し、ゲスト用にインターネット接続限定の回線を提供する機能です。
自宅のホームネットワークにはアクセスさせず、あくまでもインターネットの通信ルートだけを提供します。「ゲスト用Wi-Fi」「ネットワーク分離機能」と呼ばれてます。

例えば、あるメーカーのWi-Fi ルーターの場合、ゲストポート機能をONにすると、「Guest-XXXX」という名のゲスト専用のSSIDが表示されます。
このSSIDにアクセスすると、既存のホームネットワークへの接続は許可されず、隔離された状態でインターネットだけに接続できるようになります。
この機能を応用して、家族はホームネットワークを利用する、在宅勤務時の業務用PCはインターネット接続するだけなのでゲストポートを利用する..と使い分けることで、在宅勤務での情報セキュリティ・リスクを低減することが可能になります。

また、自宅PCにも必ず総合セキュリティソフトをインストールしておくことも対策として講じておきましょう。また、PCのみならず、スマホでネットショッピング、ネットバンキング等をよく利用する方も、スマホにもセキュリティソフトをインストールしておくこともお薦めします。かつてのようなウイルスチェック機能だけでなく、総合的な安全性を確保するためのツールとなっているセキュリティソフトも活用しながら、適切に自宅のネットワークを保護するようにしましょう。

👉👉👉理解度チェック👈👈👈