相当以前から言われ続けていて、未だに言われ続けている暗号化されていない公衆無線LAN(フリーWi-Fi)は情報が漏れて危険であるという問題ですが、弊社では相当以前から「フリーWi-Fiは暗号化していようが、暗号化していまいが等しく危険である」と言っています。
まあ、一々説明するのが面倒なので「等しく危険である」と言っているのですが、実は使い方が正しければ「等しく安全である」んですね。暗号化されていないフリーWi-Fiが特別に危険であるという事はありません。これ、実はIT関係者には何故かなかなか理解してもらえないのですが…
ここで8年前に作成した図を元に解説したいと思います。
先ずは暗号化されていないフリーWi-Fiから。
見えてしまいます。但し、ここで注目して欲しいのは土管の中を流れているウェブとメールの通信方式です。いずれもhttpであり非暗号化でありという事で、通信そのものが暗号化されていません。
同じように暗号化されたフリーWi-Fiです。
パスワードが共通なのか共通でないのかで別れますが、前者は見えます(共通の土管を使うから)が、後者は見えないはず(別々の土管を使うから)という事になります。
ここまでは、正規のアクセスポイントに接続した際の話になります。
さて、偽のアクセスポイントを悪意の第三者に用意されて、そちらに接続してしまった場合はどうでしょうか?この場合はいずれの方式でも情報は見えてしまいます。何故かと言うと中間に偽サーバーを立てて全ての通信を偽サーバーに回すことが出来るからですね。当然、通信が暗号化されていなければ丸見えになりますし、ブラウザもメーラーも偽サーバーである事を検知できないのでエラーを出しません。
では、通信を暗号化したらどうなるでしょうか?
先ずは正規のアクセスポイントに接続した場合から。
フリーWi-Fiの暗号化の有無にかかわらず通信自体が暗号化されているため他人から見ることは出来ません。
次に、偽アクセスポイントに接続した場合にはどうなるでしょうか?この場合、暗号化した通信を偽サーバーに回すとブラウザもメーラーもサーバー証明書のエラーを出します。これは通信を暗号化する際に使う「サーバー証明書」が正規のサーバーと同じものを用意できないからなのです。このエラーを無視して突破しない限りは悪意の第三者に見られることはありません。しかしながら、このエラーを無視して突破したら見られてしまいます。
もう一つ重要なポイントがあります。これは無線LANでも有線LANでも同じなのですが、ブックマークのような信頼できる場所からサイトにアクセスすることです。メーラーの場合は最初に設定してしまえば意図的に変更しようとしない限りは同じ情報がずっと使われるので影響ないのですが、ブラウザの場合は都度アドレスを入力するので、手入力を使ったり、誰かが用意したリンクを使ったりしないことが偽サイトへアクセスすることを防ぐ唯一の手段という事になります。手入力の場合は打ち間違えが発生することもありますし、誰かが用意したリンクでは信頼性ゼロですからね。
さて、まとめます。
- フリーWi-Fiは暗号化の有無に関係なく等しく危険・等しく安全
- 会員登録したサイトにアクセスする際には信頼できる所からアクセスする
- アドレスバーのHTTPSアクセスを確認(いわゆる鍵マーク)
- 証明書のエラーが出たらアクセスを止める(強行突破しない)
これを守れば、フリーWi-Fiが正規のアクセスポイントであっても偽のアクセスポイントであっても安全に使うことが出来ます。また、Windowsの場合はOSのファイアウォールの設定を「プライベート」から「パブリック」に変更する事によって外部からの侵入(いわゆる不正アクセス)を防ぐことが出来ます。
ちなみに3.のHTTPSアクセス(鍵マーク)を確認したからと言って、そのサイトが必ずしも正規のサイトであることを示すものではありません。フィッシングサイトではHTTPSアクセスである場合があるからです。なので、ブックマークのような信頼できる場所からアクセスする必要があるわけです。あと、検索エンジンを使った検索結果で出てくるサイトは正規のサイトであることを保証されていないことも注意点の一つです。