Wi-Fi を恐れることなかれ

** 本記事は、Don’t fear the Wi-Fi の翻訳です。最新の情報は英語記事をご覧ください。**

編集部注：本記事は、 2021 年のインターネットユーザーの安全性を探る全 3 回の連載記事の 1 つです。他の記事は、2021 年における WWW セキュリティの現状といくつかの注意を念頭に、パスワードマネージャーでネットワークをより安全にできる。です。

ロックバンド、ブルー・オイスター・カルト (The Blue Öyster Cult) は、その名声の絶頂期において、いくつかの点で特筆すべき功績を残しました。そのうちのひとつは、 典型的な 1970 年代のバンドによくあるように、バンド名に不必要なウムラウトを含んだ点です。さらに重要なのは、彼らの曲「死神 (原題 Don’t Fear the Reaper) 」に、「 彼らのようになれる。こっちにおいで (We can be like they are. Come on, baby) 」という歌詞を記したことです。

本記事は、ショッピングモールやカフェ、ホテル、空港などで無造作にフリー Wi-Fi に接続する人たちを羨ましく思ったことがあるという読者にうってつけです。世界の多くの地域でようやくパンデミックが収束しつつあり、より多くの人々が日常を取り戻す方法を探り始めたようです。人々が外出する機会もずっと多くなりました。旅行や買い物、人々との交流が再開するのに伴い、必然的にインターネットへアクセスする機会が多くなります。エドワード・スノーデン氏が、インターネット上の通信が傍受されていることを告発してから約 10 年、ようやくインターネットに接続するだけなら安全になったのでしょうか。

「2021年の WWW セキュリティの現状」で説明しているように、通信のプライバシーを確保するための暗号化の実装設定を変更することで、セキュリティの基本水準は大きく向上しました。

最新の Web サイトやスマートフォンのアプリケーションで使用されている基本的なセキュリティプロトコルの改善状況を考慮にいれながら、ここではフリー Wi-Fi を使用する場合に、未だに存在するリスクを評価してみましょう。

Wi-Fi 攻撃チェックリスト

ほとんどのフリー Wi-Fi は暗号化されていません。つまり、電波の届く範囲 (100 メートル以内) であれば、誰でも送信された情報を見ることができるのです。以前は、通信が盗み見られたり、ハイジャックされたりするリスクが懸念されていました。

攻撃するには、まず電波の届く範囲にいることが必要です。そして以下のいずれかを実行する必要があります。

• 正規に接続されている Wi-Fi ポイントではなく、より強力なシグナルを持つ同名の「悪魔の双子」のWi-Fi ポイントを操作する。
• 被害者がルックアップ (DNS) に攻撃者の名前を使用するよう騙し、リクエストを偽のページにリダイレクトさせるか、またはプロキシを経由させる。
• 通信を監視し、目的地との間にある保護されていないデータを傍受する。

上記はそれほど難しいことではありませんが、物理的な面で非現実的です。攻撃者は物理的に被害者の近くにいる必要があるため、攻撃の対象となるのは攻撃者の近くにいる人に限定されます。Tor を使用して遠い異国から匿名で簡単に攻撃するようにはいきません。

次に、攻撃者は被害者がどのサイトにアクセスしたいかを予測し、そのサイトが HSTS で保護されているかどうかを判断する必要があります。もし HSTS で保護されていれば、攻撃者は認証局を説得して保護されているドメインに対して有効な証明書を発行してもらわなければ、トラフィックを傍受することができません。

ただ、攻撃者は暗号化されていないトラフィックを盗聴し、一が八かに掛ける可能性もあります。調査によると、暗号化されていない接続は全体の約 5% 未満で、その大半はマーケティングや広告のトラッカーです。暗号化されていない接続先は、攻撃者にとって魅力的だったとしてもいずれもユーザー名とパスワードを受け付けないため、攻撃者にはあまりうまい話とは言えません。

攻撃者側から見た障壁

Wi-Fi ベースの攻撃は、発見時に逮捕される可能性が非常に高い割には、非常にリターンの低い犯罪です。攻撃者は通常、多くの労力を払うことを嫌い、最も簡単なターゲットを狙うことがわかっています。ただ、このような攻撃のリスクは、一人ひとりのリスクプロファイルに基づいて変化します。詳しくは後ほど説明します。

一方で、暗号化された Web サイトもハイジャックされないわけではありません。HSTS を使用していない Web サイトは、攻撃者によって暗号化されていない接続を使用するようにダウングレードされ、それにより攻撃者は情報を改ざんしたり傍受したりすることが出来るようになります。

当調査では、調査対象のサイトの 61.03% がこのような状況にありました。一見すると恐ろしい結果のようですが、しかし、このような攻撃を行うには、攻撃者は物理的に近くにいる必要があり、事前に特定のサイトをターゲットにするか、 HSTS のないサイトのみを HTTP にダウングレードする必要があります。不可能ではないにしろ、実行は困難です。HSTS 保護機能がないサイトは、攻撃者がよく利用するタイプの情報が送信されるカテゴリには含まれていませんでした。これらのサイトの中には、ソーシャルメディア、 Web ベースの電子メールプロバイダ、オフィスアプリケーション、金融機関、出会い系サイトなどが含まれます。

これらのサイトのうちいくつかは知名度が高いものの、通常、ログインページを提供しないため、攻撃者が盗んだデータを収益化することは容易ではありません。

一般ユーザーにとってのリスクレベル

単純に言えば、Wi-Fi の使用はほぼ安全です。スマートフォンや、あるいは旅行中に公共の場で使うノートパソコンなど、日常的に使うものはすべて、驚くほど侵害されにくいレベルで保護されています。

とはいえ、それでは攻撃の心配が全くないということなのでしょうか。それは明らかに誤りです。リスクや懸念はつきものですし、自分自身でどうしても見過ごすことのできない懸念もあるでしょう。そこで、ここではフリー Wi-Fi が持つ可能性のあるリスクと、リスクを下げるための代替手段を調査してみましょう。

特定のターゲットのリスクレベル

注目されやすいターゲット、例えばジャーナリスト、政治家、有名人、あるいはスパイのような人にとってはフリー Wi-Fi は、使用リスクが高すぎるかもしれません。とはいえ、多くの国ではスマートフォンのデータ通信コストは十分に安価であるため、わざわざ Wi-Fi に切り替えて接続する必要もないでしょう。

しかし、もし通信を危険にさらそうとするのが政府であるとしたら、問題はさらに複雑になります。VPN の使用を検討することもできますが、それ自体も複雑さをはらんでいます。Wi-Fi でもスマートフォンでも、通信にもっと安全性が必要な人には Tor (The onion router) を使うことをお勧めします。

Tor は、プライバシーとセキュリティを強化したブラウザで、盗聴している可能性のある人物を締め出すことができます。時おり、動作が重くなることがありますが、高度な技術を持つ攻撃者に狙われている可能性のある場合、Tor はそのような攻撃から身を守るための最良の手段です。

その他のセキュリティ対策

しかし、プライバシーを重視する人が少しでも安全を確保するためにできることがいくつかあります。これは、あらゆるネットワークで実践することができます。

• パスワードマネージャーを使用する。長く、強く、真似されることのないパスワードは不可欠です。また、フィッシングや MiTM (中間者) 攻撃から身を守ることができます。
• DNS over HTTPS を使用する。
  • Firefoxの場合： 「設定」→「ネットワーク設定」→「設定」→「 DNS over HTTPS を有効にする」
  • Chrome の場合： 「設定」→「プライバシーとセキュリティ」→「セキュリティ」→「セキュアな DNS を使用する」→オンにする
  • Edge の場合：「設定」→「プライバシーと検索とサービス」→「設定」→「セキュア DNS を使用」→「プロバイダを選択」を選択
  • MacOS 、iOS ユーザーはアプリ DNSecure を利用できます。
• モバイルバンキングなどの機密情報の漏洩が心配な場合は、スマートフォンのデータ通信プランを使用してください。

結論

結論としては、ほとんどの人にとって、ほとんどの場合、Wi-Fi の使用は全く問題ありません。なぜなら、攻撃者は、 Wi-Fi 攻撃に伴う物理的なリスクを冒すことは避け、リスクの少ない別の方法をとってくるからです。

心配せずにソーシャルメディアを見たり、メールのチェックを好きなだけ楽しんでください。オンラインセールで、外出先から買い物をしても問題ありません。しかし、それでも心配という方は、上記のアドバイスを参考に、より一層のセキュリティを確保しましょう。