2015/3/31
先日、総務省から「公衆無線LAN利用に関する情報セキュリティ意識調査結果」という資料が公開されました。
現在、国では観光立国の推進や2020年東京オリンピック/パラリンピック開催を見据えて、訪日外国人や国内観光客が容易に情報アクセスできるよう、公衆無線LANの促進に取り組んでいます。その一環で現段階での意識調査を行った結果が公表されたものです。
調査結果として、インターネット接続手段としての公衆無線LANは重要な位置づけを占める一方で、利用者側のセキュリティ意識が低く、基本的な対策が行われていない割合も高いという結果でした。特に訪日外国人よりも日本人の方がその傾向が強かったようです。
利便性の高い公衆無線LANですが、その反面セキュリティ上の懸念もあります。今後、他のセキュリティ対象と同様、攻撃者の手口が巧妙かつ高度になっていくと想定されます。公衆無線LANに対する一般的な意識と、今後の対応について確認します。
調査結果概要
まずは、総務省の行った調査の結果について確認します。
観光先で利用するインターネット通信手段について確認したところ、公衆無線LANが重要な通信手段となっていることがわかりました。特に日本人ではその傾向が強いようです。また、有料よりも無料の無線LANの方が圧倒的に多いという結果でした。
無料の無線LANの利用割合が大きいということで、公衆無線LANを使用する際の脅威についてどのくらい認識され、対策されているかについて確認したところ、脅威についてはある程度認識されているにもかかわらず、対策の実施率は大きく低下するという結果でした。特に日本人については、認知度と対策実施率のかい離が大きいことがわかりました。
別の調査では、無料サービスであっても提供者側がセキュリティ対策を実施すべきと考えているユーザが6割前後を占めていることも影響していると考えられます。
また、個々の対策についても訪日外国人と日本人とで実施している対策の傾向は類似していますが、ほとんどの項目で日本人の方が実施率は低いという結果でした。特に公衆無線LAN利用時の基本的な対策とされる項目(内容については後述)は全体の2~3割程度でした。
調査結果に基づく考察
オフィスや家庭で無線LANを使用する場合は、暗号化の設定を行っていることから、セキュリティ上のリスクは軽減されています。もちろん、暗号化の方式について、WEP(Wired Equivalent Privacy)は脆弱性が高いことから、WPA(Wi-Fi Protected Access)またはWPA2を使用することが推奨されているのはご存知だと思います。
しかしながら、公衆無線LANについては、多数の不特定ユーザが使いやすいように、アクセスする際のパスワードが共通化されて公開されていたり、暗号化レベルを低く設定していたりします。特に無料サービスの場合は、セキュリティ対策が行われていないこともあります。
無線LANは、アクセスポイントから電波の届く範囲であれば利用できることが利便性の一つですが、一方で悪意のある者がその電波の範囲に入れば通信を傍受されてしまうリスクが発生することになります。
特に日本人の場合、無線LANの利用者はセキュリティ上のリスクを認識していても対策を怠る傾向が強く出ています。今回の調査は観光客を対象としていましたが、外出や出張等で無線LANを使用する機会もあると思います。また、休暇中でも会社からの緊急連絡を受け、業務データにアクセスしなければならない事態もあると思います。会社貸与端末であればある程度セキュリティ対策もされていますが、BYODの場合は自分で対策を実施しなければなりません。
このご時世なので、便利で無償のサービスを利用したいのはわかります。最近ではこれを逆手にとって、通信を盗聴するためにわざとノンセキュリティの無線LANを設置していることもあるそうです。可能な限り自衛することで、リスクを軽減させるよう努めることが重要です。
公衆無線LANにおける自衛策
それでも、どうしても外出先で公衆無線LANを使用しなければならない局面があった場合、どのようなことに気をつければいいでしょうか。以下に代表的な対策を提示します。なお、確認手段はOS等によって変わるので、ご自身でマニュアル等確認の上、対応ください。
1.端末のOSやセキュリティソフトを最新状態にする
公衆無線LANに限らず、インターネットに接続する端末については基本中の基本の対策です。会社貸与端末だけでなく、プライベートで使用する端末についても同様の措置をするべきです。今後はスマートフォンやタブレットに対する攻撃が増加することも想定されるので、Windows PCだけでなく、すべての携帯端末についても対応することが望まれます。
2.端末のファイル共有禁止
公衆無線LANに接続するPC等のファイル共有機能が有効になっていると、端末に保存されているファイルを読み取られたり、逆に不正なウィルスを送り込まれたりします。また、スマートフォンではファイルを共有するアプリケーションもあるので、公衆無線LANを使用する際には該当するアプリケーションを終了させましょう。
3.無線LAN未利用時はWi-Fi設定をOFFにする
公衆無線LANを利用しない場合は、Wi-Fi設定をOFFにしておかないと、端末が勝手にアクセスポイントを探して自動接続してしまうことがあります。そのような場合、気付かないうちに無防備な通信を行ってしまい、盗聴されたり、端末に侵入されたりするリスクが発生します。「面倒だから」といって怠りやすいですが、実施すべき対策です。
4.知らないSSIDには接続しない
SSIDとは、Service Set Identifierの略で、無線LANにおけるアクセスポイントの識別名のことです。無線LANをサービス提供している場所であれば、SSIDや暗号化レベル等が公開されているので、その内容を踏まえて接続することも可能ですが、見たこともない、現在地でサービス提供が明示されていない場所でのSSIDにアクセスすることは、先にも述べた盗聴目的のアクセスポイントの可能性があります。よって、便利だからといって知らないアクセスポイントに接続することは避けるべきです。
5.アクセスポイントの暗号化種類の確認
公衆無線LANでアクセスしたアクセスポイントの暗号化状況について確認してください。暗号化されていないアクセスポイントでは通信が盗聴される可能性があります。また、暗号化されていても、その暗号化方法がWEPであれば、暗号化されていないのとほぼ同義の状態です。どうしてもそのアクセスポイントを使わなければならない場合は、一般の検索サイトやニュースサイト等、盗聴されても問題の無いようなサイトの閲覧に限定しましょう。
6.SSLサイトの確認と重要な情報入力の適切な対応
公衆無線LANでは可能な限り一般情報の閲覧にとどめたいところですが、時には個人認証を伴うサービス利用が必要な局面も発生します。その際のログイン情報やクレジットカード番号等の重要な情報を入力する場合には、入力しようとしているサイトがSSL(Secure Sockets Layer、暗号化通信に対応するサイト)であることを確認してください。URLが「https」で開始されていたり、ブラウザに鍵マークが表示されていたりする場合は、SSLを利用するサイトです。
た、SSLが使用されていても電子証明書のエラーが表示される場合は、不正なアクセスポイントの可能性があるので、認証等の操作はやめましょう。
また、適正なSSLサイトだとしても、盗聴リスクを軽減するため、公衆無線LANでの認証入力等は必要最小限にしましょう。
公衆無線LANの利用は、ビジネスにおいてもプライベートにおいても、今後利用する局面が増加すると考えられます。これに伴い、悪意のある盗聴や攻撃も増加することが予想されます。自分自身や会社の重要な情報を盗まれないためにも、最低限の対策を実施するとともに、公衆無線LANを使用する際は、細心の注意をもって利用するようにしましょう。また、企業内研修や社内教育の中で、あるいは家族の話し合いで、十分に周知させることも必要だと思います。
上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。