暗号化キーがあっても要注意「偽Wi-Fiスポット」とは?

通常のWi-Fiスポットに紛れて、事業者が提供していない偽のWi-Fiスポットが存在しているのはご存じでしょうか?

Wi-Fiの名前(SSDI)は、簡単に変更できます。悪意のある人が持ち込んだポケットWi-FiやPCと小型のWi-Fiルータを使って、SSDIを本当のアクセスポイントと同じに設定してしまえば、利用者を簡単に騙すことができます。また、偽Wi-Fiスポットにウイルス感染の罠を仕掛け、アクセスしたPCにこっそり不正プログラムを忍び込ませるなどの手口もあります。

筆者の場合、仕事で使うPCは自分で用意したポケットWi-Fiやスマホのテザリング、もしくは安全な管理がされている企業が来訪者向けに用意しているゲストWi-Fiなどに限定して利用するようにしています。

ワンポイント知識(2)
なりすましアクセスポイントに関しては、こんな話もあります。
ある国際的な会議で会場のWi-Fiになりすました偽のアクセスポイントを用意したセキュリティの研究者がいました。すると、何人もの人がその偽アクセスポイントに接続して、会議の内容そっちのけでWebサイトを閲覧したり、買い物をしたりしていたそうです。会議会場ということで安心していたのか、VPNを使っていない人の通信は丸見えだったということです。
このように、専門家、政府や官公庁関係の要人、企業のエグゼクティブなどが集まる会議場やホテルなどの公共施設は、価値のある機密情報が得られる可能性が高く、罠をしかけられやすいと言われています。

家庭のネットワークにウイルスが?

家庭でテレワーク(在宅ワーク)をする場合についても考えてみましょう。

電柱から引き込まれたネット回線の先には、Wi-Fiルータがつながれて、外のインターネット環境と家庭内のLANを隔て、接続する玄関口となっています。皆さんの家庭の玄関は、外出時は鍵をかけると思いますが、ネットの玄関であるルータに鍵がかけられているかを確認したことはあるでしょうか?

企業であれば、ネットワークを監視するセキュリティ機器、サービスを導入しメンテナンスされていますが、Wi-Fiルータを付けたまま放置し、アップデートもしていない家庭も多いでしょう。

今、PCやスマートフォン以外のネットワーク機器、スマート家電、WebカメラなどのIoT機器へのサイバー攻撃が激化しています。国の研究機関であるNICTの調査では、家庭のWi-Fiルータも漏れなく、攻撃者のスキャン(調査)にさらされていることがわかっています。脆弱性など攻撃をするスキがあったら、IoT機器に感染するウイルスが送り込まれ、サイバー犯罪に悪用されてしまいます。

ルータの管理画面のIDパスワードが初期設定のままになっていたり、ファームウェアを1回もアップデートしていなかったりなど、無防備な機器はサイバー攻撃の格好のターゲットになります。

そのほか、家庭の中にアップデートがされていない古いPCやスマートフォンがありませんか?

Windows XPは言うまでもなく、2020年1月でサポート期間が終了したWindows 7など、久しぶりに起動したらOSの脆弱性にアップデートが当たっていなかったり、ウイルス対策ソフトの期限が切れていたりすることはありがちです。また、スマートフォンも、ユーザーを騙してインストールされる不正なアプリによってサイバー攻撃に悪用される事例が多数報告されています。

もし会社のPCを持ち帰り、ウイルスに感染したPCと同じネットワークに接続したらどうなるでしょう? ウイルス対策ソフトが入っていても、働いてくれるとは限りません。テレワークをするのであれば、自宅のWi-Fiルータや家族の使うPCやスマートフォンの安全性にもきちんと目を配って、メンテナンスしておかなくてはならないということですね。

このような問題に対処するために、最近は一般家庭や小規模オフィス向けのセキュリティWi-Fiルータも販売されています。ウイルス対策や、不正侵入、パスワード解読する攻撃など、PC用のウイルス対策ソフトでは検知できないサイバー攻撃も検知、ブロックできるものです。いくつか紹介しておきますので、確認ください。

SECURIE Home powered by Bitdefender

Bitdefenderの高速セキュリティWi-Fiルータとクライアントソフト(台数無制限)を提供。

@nifty スマートセキュリティ with F-Secure

F-Secureのセキュリティルーターとクライアント用ソフト(7台分)を提供。

BUFFALO AirStation connect WRM-D2133HS

カスペルスキーの技術を組み込んだDiXiM Securityを採用、クライアント用セキュリティソフトは付属なし。

利用者に向けたアドバイス

ここまで、テレワークで見落としがちなセキュリティについて、説明してきました。以下、ポイントを箇条書きにしてみたので、もう一度確認してみてください。

  1. テレワークで使うPCはOS、セキュリティソフトを常に最新に
  2. 無料Wi-Fiスポットは、暗号化なしのものが多い
  3. 利用登録には、専用のフリーメールアドレスを用いる
  4. 公共の場所には偽のWi-Fiスポットもある
  5. 公共Wi-Fiスポットは無料も有料もできるだけテレワークには使わない
  6. 使う場合はVPNを利用する
  7. 家庭のWi-Fiルーターのパスワード変更、ファームウェアアップデートは必須
  8. 自宅にセキュリティが不十分なPC、スマホがないかをチェック
  9. できれば、セキュリティWi-Fiルータを買って安全性を高める

企業のIT担当者向けのアドバイス

大手企業であればIT部門のセキュリティポリシーに基づいて、社員がテレワークに使用するPCは管理されていることと思います。しかし、最近のニュース(M社やN社の不正アクセス事件)で報じられているように、企業を狙ったサイバー攻撃はガードの弱い一般社員や関連会社組織から侵入していることが明らかになっています。

また、中小企業の場合、情報システム担当が1人きりという企業も多数あり、安全対策を全社員にいきわたらせることは困難かもしれません。

今、サイバーセキュリティの世界では「人間」そのものが最大の脆弱性と言われています。

どんなセキュリティ技術を使っても、利用者のセキュリティ知識、安全意識の有無で安全性が大きく左右されます。企業存続の危機にもつながりかねない情報セキュリティ事故を防ぐために、テレワーク時のネット接続環境の安全性や、犯罪手口に騙されないための予備知識の教育を徹底することが、最も低コストで効果的なセキュリティ対策と言えると思います。

著者プロフィール

山本和輝(やまもとかずてる)


外資系ソフトウェアベンダー数社の日本支社マーケティング部門を経て、2000年よりシマンテックにて消費者むけ総合セキュリティソフトの国内普及に携わる。
ソフトバンクグループのBBソフトサービスに入社後は、セキュリティ事業の広報マーケティング業務を行うと同時に、社外のセキュリティ団体にて一般消費者のサイバー犯罪被害を無くすための啓発活動も積極的に行っている。