最近は本当に便利な世の中になりましたよね。スマホとノートパソコンがあれば、本当にどこでも仕事ができる世の中になりました。
ワタシもよくカフェで仕事したりするときもあるんですが、そんなときによく耳にするのが、Free WiFiで仕事をするな!ということ。これって危ないとかよく聞くんですが、何がどう危ないのか正しく説明できますか?
今回は非暗号通信の危険性と実際どんなことを起きてしまうのかを紹介していきたいと思います。
**今回は悪用して使ってしまうと、犯罪になってしまう可能性もあるので、あくまで危険性の認識と対策を考えるという意味合いで紹介してきたいと思います。
フリーWi-Fiで一体どういった情報が盗聴されてしまうのか?
スマホを一日中使っていると、やはり気になるのが通信料/量。格安SIMを使っていてもやはり上限無しの使い放題ということではないので、やはりずーーっと音楽をストリーミングしつづけたり、映画を見たり、SNSで動画を見たりなんかしていると上限なってあっとゆうまですよね。
そんなときの待避所として便利なのがカフェなどにあるオープンWiFi。無料かつパスワードもないので、誰もかれもが接続することができますね。
さて、カフェで何をしますか?
- ウェブサイトを見る
- 動画を見る
- ECサイト(Amazon/楽天)で買い物をする
- 株取引をする
- 漫画をみる
- SNS(Facebook/twitter)をする
- メールを見る(メーラーを使って)
この中で盗聴の危険性のある通信はどれかというと、ECサイトで買い物をすること、株取引をすること、そしてメールを見ることですね。それと、間接的にはウェブサイトで何かログインするような処理をするようなサイトの場合も同様にID/PASSWORDを盗聴されてしまう可能性があります。
盗聴されたデータはどのように見えるかというと、モノによって違いますが、平文(そのまま見える)で見えるケースもあれば、ハッシュ文(決まった方式でシグナル化したもの)もあります。
クラッカーと呼ばれる悪意を持った人間は、そういったデータを簡単に抜き出せるようにしたツールを使って、本当に簡単にアカウントデータだけ抜いてしまうこともできます。
例えば、クラッカーがオープンWiFiに接続して、数時間クラッキングツールを動かして置けばもしかすると、数人分のログインアカウントのIDとパスワードを盗みとることも可能でしょう。
一旦、1つのサービスのログインアカウントを盗み取られた場合にはどうなるか想像できますか?おそらくほとんどの人が、ログインID(メールアドレス)とパスワードを複数のサービスで共有していると思います。盗み出したアカウントとパスワードを使って、他の重要なサービス、例えば、買い物ができるようなサイトにログインしたり、キャッシュレスサービスでチャージができるようなものに使われた場合には、もうほぼゲームオーバーの状態ですね。
フリーWi-Fiにいるときには急に出てくるポップアップは絶対クリックしないこと
これもクラッキングのよくある手口の一つで、通信を傍受したあとに、通信を乗っ取る(セッションハイジャック)ことが可能で、乗っ取られたセッションは、ユーザーの意図しないサイトに誘導されたり、ウイルスが入ったファイルをダウンロードさせてこようとしてきます。
私の友人のエンジニアでもやられたのがこの手口になります。彼は海外のホテルのFree Wi-Fiで仕事&ウェブサイト閲覧をしており、その時急に右下のタスクバーから、ウイルスソフトのアップデートのホップアップが上がったらしいです。
そのウイルスソフトは、自身がインストールしていたものではあったし、そもそもウイルスソフトは早めに更新しないと危険という認識もあったので、ためらいもなく、そのポップアップをクリックしてしまい、、、そしてめでたくをウイルスソフトをダウンロードされたわけです。
如何ですか?このようにクラッカーが、使用者の不安や、セキュリティ意識を逆手にとって、あの手この手で情報を盗み、パソコンを乗っ取ろうとしてきます。
パソコンを乗っ取った後はクラッカーすることは何か?
ウイルスソフトをダウンロードさせてクラッカー達は一体どうするのかというと、主な目的は以下です。
- アカウントを盗んで、お金を盗み取る
- 機密情報を流出させる(愉快犯)
- ランサムウェアをインストールさせてパソコン自体を人質にとる(身代金)
- クラッカーの踏み台にして次のターゲットにクラッキングする(スケープゴート)
一つ目は、皆さんもよく聞き覚えのあるものですね。Paypayやセブンペイで起きた不正クレジットカード利用の被害はまだ記憶に新しいですよね。
ランサムウェアも一時期世界中で大きなニュースになりましたよね。日本の企業もかなり被害にあい、サーバを全て消去して復旧させるといった作業が発生しました。アメリカ自治体では、最終的に実際にお金を支払ってしまったという事例もありました。
ランサムウェア被害で5400万円の身代金を支払ったアメリカの自治体が市のIT責任者1名を解雇
最後のクラッカーの踏み台にするというのは、クラッカーは基本的に自分自身がどこにいるのか悟られたくはありません。なので、様々なルートを使って、攻撃を仕掛けてきます。一度クラッカーに乗っ取られたパソコン/サーバは、クラッカーに次に入ってくるときには、ワンクリックで侵入できるようになっています。
そしてクラッカーは、乗っ取ったサーバを使って、また次のターゲットをクラッキングするわけですね。万が一、クラッカーの侵入経路をたどられたとしても、見つかるサーバは、乗っ取られたサーバであって、クラッカーのところまでは辿りつかないようになっているわけですね。
フリーWi-Fiに対する対策は?
ここまでクラッキング手口について説明したところで、本題の対策を考えていきましょう。
暗号通信を必ず使う
まずは基本的には暗号化された通信を使うようにしましょう。ウェブ閲覧であれば、基本的にはhttp”s”のサイトであれば、パソコンとサーバ間の通信は全て暗号化されています。こういったサイトであれば、アカウントのIDやパスワードが盗聴されるリスクはかなり下がりますね。
その他にもLinux/Unixサーバ系のお仕事をする人であれば、以下のような通信は必ず気をつける必要があります。
| 非暗号通信 | 暗号通信 |
|---|---|
| telnet | ssh |
| ftp | sftp |
| POP3/IMAP4/SMTP | POP3s/IMAP4s/SMTPs |
| http | https |
| snmp v1/v2 | snmp v3 |
VPNを使う
VPNというのは、要は暗号化通信をするためのトンネルを貼る技術になります。VPNを使えば、デバイスから流れるデータ全てが暗号化された状態で外に出ていくので、安心ですね。
VDI(シンクライアント)を使う
最近色々な企業でも導入されているVDI (デスクトップ仮想化)もこういった盗聴を防ぐことが出来ますね。盗聴が実施されているのは、ローカルPCのWiFi出会って、VDI上のデータを盗み見ることは不可能です。
ログインアカウントを複数のサービスで共有しない
これは盗まれた後の対策ですが、そもそも複数のサービスで同じアカウントは使わないこと。ある調査によるとほとんどユーザーが同じIDとパスワードを複数のサービスで使いまわしているそうです。
一度アカウントが盗まれてしまうと、主要なサービスのほぼ全てが同時に乗っ取られてしまう可能性があるので、数文字でも良いので少なくてともパスワードは変えておくことが重要です。
二要素認証を有効化しておく
Googleや、Appleなどでは既に設定が出来るようになっている二要素認証ですね。これは認証にID/パスワードだけじゃなく、スマホにSMSを送ったりして行う認証方法で、万が一パスワードが流出してしまっても、スマホにSMS認証が走るので、そこで不審なアクセスをブロックすることが出来るというわけですね。
そもそもフリーWi-Fiは使わない
これはそもそも論になりますが、オープンWifiを基本的には使わないというのが一番ですね。オープンWifiというのは、認証も不要なくせに、どこの誰だかわからない人と同じネットワークに入るようなものです。
例えるなら、全く初めてかつ話したこともない、そもそも目的するわからない人と、いきなり同じ部屋に入って仕事するようなものです。
そりゃ、何されるわかりませんよね?
基本的にはオープンWiFiは使わないで、テザリングを使って危険なネットワークに足を踏み入れないことが重要ですね。
最後に
今回はセキュリティという観点で説明していきました。普段からセキュリティには気をつけろと言われつつも、実際どんなことが起きるのか、どんなことをされてしまうのかというのがイメージ出来ると、よりセキュリティに対する意識を向上されることが出来ますね。
そもそも一番の対策というのは、セキュリティに対する心構えだったりもします。クラッカーは、例え突破出来るとしても、セキュリティがガチガチのサーバを余程のことがない限り狙うことはありません。
セキュリティがばがばなサーバが世の中にはゴマンと存在しているので、そっちを狙っていくほうが効率が良いからです。
そのためにいかにクラッカーに「面倒臭い」と思わせるかというのがそもそものセキュリティ対策の第一歩になるわけですね。
皆さんも十分にお気をつけくださいね。
コメント