前回は、自宅のWi-Fiのセキュリティについて解説しましたが、より注意深くならなくてはいけないのは、外出先でWi-Fiを利用する場合です。リモートワーク生活が長引く中で、気分転換を兼ねてホテルやカフェで仕事をするという人も少なくないでしょう。本連載でも以前ホテルを利用したリモートワークを取り上げました。その時にも少し触れましたが、ホテルやカフェなどで提供されているいわゆる公衆Wi-Fiは、セキュリティ上は必ずしも安全とは言えないので注意が必要です。

この件に関しては、アメリカのFBI(連邦捜査局)も昨年10月に注意喚起を促す声明を発表しています。今回はこのFBIの声明をもとに、公衆Wi-Fiを使う上でのセキュリティ上のリスクと対策を紹介します。FBIの声明はアメリカのホテル事情を背景として発表されたものですが、内容としては日本国内でも十分に当てはまるものになっています。また、ホテルだけでなくカフェなどの公衆Wi-Fi全般に対しても同様に適用できます。

なぜホテルのWi-Fiが危険なのか

FBIの注意喚起は、次のページで全文を見ることができます。

  • A COVID 19-Driven Increase in Telework from Hotels Could Pose a Cyber Security Risk for Guests

    A COVID 19-Driven Increase in Telework from Hotels Could Pose a Cyber Security Risk for Guests

FBIが注意喚起の声明を発表した背景には、新型コロナウイルスの影響が長引いて自宅以外にホテルでもリートワークをする人が増えてきたことが挙げられています。特に都市部では、リモートワークで利用するためのプランを積極的に押し出しているホテルもあり、この辺りの事情は日本とよく似ているようです。

それでは、なぜホテルのWi-Fiを利用するのが危険なのでしょうか。FBIの注意喚起では、主に次のような理由が挙げられています。

不特定多数のユーザーが同じネットワークを利用する

ホテルのWi-Fiネットワークは物理的に限られたエリアで動作し、不特定多数のユーザーが利用します。これは悪意を持った攻撃者にとっては理想的な環境です。サイバー犯罪者はこのような環境を狙って、被害者のインターネット利用を監視したり、偽のログインページに誘導してパスワードや個人情報を入力させたりしようとします。

偽のWi-Fiルータを簡単に設置できる

ホテルのWi-Fiの利用者はSSIDを頼りにルータに接続することになりますが、悪意のある第三者が紛らわしいSSIDのWi-Fiルータを設置することで、自分の用意したネットワークに接続させようとするかもしれません。利用者は誤って犯罪者のWi-Fiルータに接続してしまい、結果として個人情報を盗まれたり、端末を制御されたりすることにつながります。

セキュリティよりも利便性が優先されている

多くの場合、ホテルのWi-Fiネットワークはセキュリティよりも利便性を優先して構築されています。小さなホテルの場合、フロントのデスクにWi-Fiのアクセス情報が貼られているのを目にしたことがある人も多いのではないでしょうか。このようなケースでは、そのホテルを訪れた人であれば誰でも(宿泊者でなくても)Wi-Fiを使えてしまいます。

もう少ししっかりしたホテルであれば、Wi-Fiへのアクセスが部屋番号とパスワードなどによって管理されています。しかし、こうした対策は単にWi-Fiにアクセスするデバイスを制限できるというだけで、インターネット接続の安全性を高めているわけではありません。

利用者はネットワークセキュリティを制御できない

一番の問題は、利用しているホテルのWi-Fiネットワークでどの程度のセキュリティ対策が行われているのかを、利用者は確認や制御ができないという点です。もしかしたら、設置されているWi-Fiルータが古くて攻撃されやすいものであったり、ファームウェアが更新されておらず脆弱性が放置されたままになっていたりするかもしれません。利用者はそれについて一切制御できないのはもちろんのこと、ほとんどの場合は確認することさえできません。

前回、自宅のWi-Fiの安全性を高める方法を紹介しましたが、ホテルでWi-Fiを利用する場合はそのような安全対策が行われていないことを考慮しなければならないわけです。

リスクを軽減するためにするべきこと

ホテルのWi-Fiを利用を際のリスクを少しでも軽減するために、FBIでは次のような対策を取ることを勧めています。

  • 可能であれば、信頼できる仮想プライベートネットワーク(VPN)を使用して通信を暗号化し、サイバー犯罪者が盗聴しにくいようにする。
  • 可能であれば、ホテルのWi-Fiではなく、自分のスマートフォンのテザリングやモバイルWi-Fiルーターなどを使用する。
  • 旅行の前に、端末のOSやソフトウェアを最新版にアップデートし、重要なデータのバックアップを取る。端末には信頼できるセキュリティ対策やウイルス対策のソフトウェアを導入する。
  • ホテルのWi-Fiルータに接続する前に、必ず正しいSSIDを確認する。
  • ホテルの公式Wi-Fiネットワーク以外のネットワークには接続しない。
  • 端末のネットワークセキュリティ設定は「パブリックネットワーク設定」を選択し、自動再接続を無効にする。
  • Webサイトを閲覧する際は常にHTTPS接続になっているかを確認する。
  • 銀行などの機密性の高いWebサイトにアクセスしたり、社会保障番号(日本の場合はマイナンバーなど)のような個人データを入力したりしない。
  • ホテルのWi-Fiに接続する端末は第三者から検出できない設定にし、使っていない時はBluetoothは無効にする。
  • ワイヤレスネットワークの利用については、所属する組織で定められたのセキュリティポリシーと手順に従う。
  • 機密データを扱うアカウントにログインする場合は、多要素認証を使用する。
  • ログイン通知を有効にして、不審なアカウントアクティビティが検出された場合のアラートを受信できるようにする。

端末が危険にさらされている兆候をつかもう

もし使っているPCやスマートフォンが攻撃者によって侵害された場合、いち早くその兆候を察知して対策を取る必要があります。簡単には侵害の痕跡がわからないケースも多いですが、もし次のような兆候が見られた場合、そのPCやスマートフォンは危険にさらされているかもしれません。

  • 突然、端末の速度が低下した。
  • Webサイトにアクセスしようとしたら、自動的に別のサイトにリダイレクトされた。
  • カーソルが勝手に動き始めた。
  • モバイル端末が勝手にアプリを起動した。
  • ポップアップ広告が表示される頻度が増えた。
  • データ使用量が突然増加した。
  • バッテリーの減り方が速くなった。
  • 覚えのないの通話や、テキストメッセージ、電子メールの利用履歴がある。

このような兆候が現れた場合は、端末が侵害された可能性を疑って、すぐに対策を講じる必要があります。FBIでは次のような対策を実施するように呼びかけています。

  • 疑わしい電子メールやファイルを転送しない。
  • 端末をすべてのネットワークから切断し、Wi-FiとBluetoothを無効にする。
  • 企業のIT部門に相談し、もし重要な変更がある場合は通知されるようにする。
  • IT部門がない場合は、サードパーティのサイバーセキュリティ専門家に相談する。
  • サイバー攻撃やサイバー詐欺があった旨を公的機関に報告する。

サイバー攻撃などに関する報告を行う公的機関ですが、日本の場合は情報処理推進機構(IPA)が情報提供を受け付けています。下記のWebサイトから届出を行うことができます。

まとめ

最近では、ホテルやカフェをはじめとして、さまざまな場所で公衆Wi-Fiを利用できるようになりました。しかし、それらのWi-Fiネットワークは自宅のものよりもセキュリティのリスクが高いことは常に意識しておくべきでしょう。サイバー犯罪者は、公衆Wi-Fiの設置者や利用者がセキュリティに対してそれほど関心がないことをよく知っており、その隙を狙って攻撃してきます。

もし仕事で利用しているPCやスマートフォンが侵害を受けた場合、そこから個人情報やビジネス上の機密データが盗まれる危険性があります。一度侵害されれば、マルウェアを仕込まれてその後長期間にわたって被害を受け続ける可能性も高いです。さらに、侵害されたPCを通して会社のネットワークに不正アクセスされて、甚大な損害につながることもあります。

そのようなリスクを避けて安全にインターネットを利用できるように、セキュリティには十分な注意を払うように心掛けましょう。