スポンサーリンク
スポンサーリンク

パスワード保護なしのWi-Fi アクセスポイントに繋いでしまった場合のリスクは?

きちんと設定していれば、フリーWi-Fi の電波を受信しても、勝手に接続する心配はないことはわかりました。

しかし、もし パスワード保護されていない Wi-Fi を、間違えて選んで接続してしまった場合には、どんなリスクがありますか?

先日、買い物先でフリーWi-Fiが表示されました。多分クリックしてはいないと思うのですが、焦っていたので自信がありません。もし、クリックしてたらどんな情報が盗まれてしまっているのか心配です。

「パスワード保護なしのWi-Fi」に接続したときのリスクは、「通信を盗み見られてしまう」ということです。ただし、すべての情報を盗み見られてしまうわけではありません。

今回は、インターネット通信の仕組みをもとに、「保護されていないWi-Fi」と「保護されていないサイト」を比べながら、セキュリティのリスクをみてみましょう。

スポンサーリンク

Wi-Fiの認証と暗号化

Wi-Fi接続でウェブサイトにパスワードを入力する場合には、2つのセキュリティ保護があります。

  • Wi-Fiのパスワード保護
  • ウェブサイトのセキュリティ保護
インターネット通信と保護
インターネット通信と保護

「パスワード保護のない Wi-Fi は危険」といいますが、フリーWi-Fiも2種類あります。

  • 古い公衆Wi-Fi
  • 悪意のあるWi-Fi
フリーWi-Fiのリスク
フリーWi-Fiのリスク

悪意のあるWi-Fi」、つまり、情報を盗むために設置されたWi-Fiの場合は、危険性がかなり大きいです。Wi-Fiに接続したスマートフォンは、ルーターを経由してインターネットに接続するため、ルーターから返ってくる情報を全面的に信頼することになります。

Wi-Fi 自体は善意のものであっても、古くてセキュリティ保護がない場合には、リスクがあります。それは、悪意のある第三者も接続している可能性があることです。

有線LANではパソコンとルーター間にLANケーブルを挿さない限り、ネットワークに接続できません。
しかし、Wi-Fiで電波が届く範囲であれば、第三者にはネットワークに接続するチャンスがあります。

そこで、第三者が Wi-Fi に侵入するを防ぐために通信を暗号化し、Wi-Fiルーターに暗号を解読するための鍵(パスフレーズ)を設定します。この鍵となる文字列のことを、暗号化キー(あるいは、セキュリティキー、パスワード)といいます。

パスワード保護されているWi-Fiの場合、そのSSIDに対して暗号化キーを入力して接続します。

パスワード保護と暗号化はセットです。

パケットキャプチャ

パスワード保護のない Wi-Fi ネットワーク内でやり取りされるデータは、暗号化されていないので、接続できれば「パケット キャプチャ(Packet Capture)」というプログラムで監視することができます。

パケット キャプチャは、とくに違法なプログラムというわけではなく、通常はネットワーク内の障害を調査するために利用されます。

出典:File:Wireshark – UDP – Wikimedia Commons

インターネット通信の入れ子構造

ただし、パケットキャプチャを利用すれば、ネットワーク内の通信はなんでも見ることができるか、というとそう簡単ではありません。インターネットで入力したパスワードなどは、簡単には傍受できません。

通信情報は入れ子構造になっているからです。

インターネット通信で扱われる通信情報を「パケット(Packet:小包)」と呼びますが、パケットは階層ごとのヘッダ情報を付加された「入れ子」のような構造になっています。

インターネット通信の入れ子構造
インターネット通信の入れ子構造
  • アプリケーション層…ファイル形式や通信の接続・切断を管理する
  • トランスポート層…通信の信頼性を確保する
  • インターネット層…終点までデータ経路を中継する
  • ネットワークインターフェース層…直接接続した機器の間で通信する

この通信の階層構造をみてみると、Wi-Fiのセキュリティとウェブサイトのセキュリティの違いがわかります。

・Wi-Fi ルーターのパスワード保護が関与するのは「インターネット層(IP)」、
・ウェブサイトのセキュリティ保護が関与するのは「アプリケーション層(HTTPS)」。

出典:ネットワーク技術者のための基礎理論 | IT SKILL MAP

IP(インターネット・プロトコル)

インターネットの通信内容は、郵便物の宛名と中身のようにわかれています。

このデータの構造は、IP(インターネット・プロトコル:Internet Protocol)という約束事で決まっています。
(1)宛先などの情報を「IPヘッダ」、
(2)内容の情報を「IPデータ」、
と呼び、合わせて「IPパケット」といいます。

「パケット」というのは、「小包」の意味です。

ちなみに、よく「IPアドレス」という言葉を目にしますが、「IPアドレス」は「IPヘッダ」で使用する、コンピュータを指定する数字の文字列です。例えば、首相官邸のホームページのWebサーバのIPアドレスは、「202.214.194.138(IPv4形式)」となります。インターネットに接続したスマホやパソコンにも、IPアドレスが割当てられます。最近では、IPv6 という4倍長い形式のアドレスも利用されています。

暗号化して通信する(HTTPS)

IPデータの内側に、HTTPという構造があります。HTTPは、ウェブサーバとブラウザの間で、情報をやりとりするための約束事(通信規約:プロトコル)です。

HTTPSは、HTTPを TLS(Transport Layer Security)で暗号化して、パケットを受け渡す方式です。

SSLとTLS

インターネットのセキュリティでは、「SSL(Secure Socket Layer)」という言葉もよく聞きます。SSLは脆弱性が見つかり、今は TLSという仕組みに置き換わっています。

TLSもSSLも、基本的な仕組みは一緒です。サーバー証明書を使用してサーバーを「認証」し、鍵を使用した通信の「暗号化」を行います。

HTTPSでは、2種類のリスクから閲覧者を保護します。

信頼のある第三者機関である認証局から発行され、通信先のサーバーが本物であるという証明ができるので、悪意のある第三者による「なりすまし」を防止することができます。

秘密鍵を使ったサーバー認証を行い、Webブラウザとサーバー間の通信内容が、悪意のある第三者によって盗聴・改ざんされるのを防ぎます。

TLSは、サーバ証明書と暗号化の仕組みです。

情報をやり取りする「クライアント」と「サーバ」がある
セキュアな鍵付きの箱がある
箱の鍵は「クライアント」と「サーバ」だけが持っている
情報は鍵つきの箱にいれて(暗号化される)やり取りをする
鍵を持っている者だけが情報を取り出し、暗号を解くことができる

HTTPS通信は暗号化されて判読できない

実際に、PCでWi-Fiネットワークを立ち上げて、「パケット キャプチャ」で通信データを取得してみると、サイトがセキュリティ保護のない HTTP通信 の場合には、通信内容まで傍受できます。しかし、HTTPS通信の内容は判読できません。ただし、HTTPS通信でも、IPヘッダに含まれるIPアドレスなどの情報は、暗号化されません。IPヘッダは、HTTPSのデータを作ったあとに付加される情報だからです。

パケットを暗号化すると、悪意のあるWi-Fiや悪意のあるネットワーク参加者だけでなく、サーバまでの経路の途中のサーバでも内容を解読できません。ウェブサイトの安全を確保することができます。

暗号化のコスト

どうして、はじめから全部のサイトやルータを暗号化で保護しなかったの?

HTTPSは暗号化・復号化の処理が入るので、平文(ひらぶん:暗号化されていないデータ)に比べてCPUに負荷がかかります。最近のスマホやパソコンは性能が上がったので、あまり気になりませんが、以前は通信速度が遅くなってしまう欠点があったからです。

HTTPSでは、暗号化されたデータを通信するため、すべてのデータがWebサーバーとブラウザの双方で暗号化・復号化されます。

そのため、双方の環境でCPUに負荷が発生します。

HTTPS 入門 HTTPSのコスト:SSL/TLS サーバ証明書 |DigiCert(デジサート)正規代理店

HTTPSHTTP
パスワード保護ありWi-Fi宛先・内容 ともに暗号化通信経路で内容が平文
パスワード保護なしWi-Fi宛先が平文
内容は暗号化
宛先も内容も平文

VPN(仮想専用線)とIPsec

もう一つ、フリーWi-Fi を安全に利用するための仕組みとして、「VPN」というものがあるので、みてみましょう。

もともとインターネットは、不特定多数のユーザーが利用する開かれた通信網、つまり公衆回線です。データは伝言ゲームのように行き来しているので、知識のあるハッカーであれば 通信内容を盗み見たり改ざんしたりできます。

それを防ぐための技術が、「VPN(仮想専用線:Virtual Private Network)」です。やり取りする2点間で仮想的なトンネルを作って覆うことで、通信内容が漏洩するリスクを減らします。VPNでは、一般的に IPsec(Security Architecture for Internet Protocol)という方式でインターネット通信を暗号化します。

IPsecで通信される情報は、コントロールシステムのIPヘッダと、通信内容の本体であるデータで構成されます。IPsecには、強いトンネルモードと弱いトランスポートモードがあります。

トンネルモードでは、パケット全体が暗号化される仕組みです。本体データも暗号化するだけでなく、元のIPヘッダを暗号化し、新たなIPヘッダを付加します。ただし、経路上のルーターがIPsecに対応している必要があります。

トランスポートモードでは、元のIPヘッダは暗号化せず、本データのみを暗号化する仕組みです。トンネルモードとは異なり、基本的にはホスト間(末端のデバイス同士)でVPN接続を確立します。

VPNを守る仮想トンネルとは?仕組みや主な設定方法&閉塞接続との違いを解説 | iTSCOM for Business

Wi-Fiネットワークのファイル共有は危険

Windowsでは「ファイル共有機能」がオンになっていることが多く見受けられます。家庭内やオフィスでは、ファイル共有機能がオンになっていれば、複数のパソコンでファイルを共有する事が出来て便利です。しかし、公衆無線LANを利用する際はこの機能をオフにしないと危険です。

スマートフォンの場合は、通常 ファイル共有機能は無効です。共有フォルダにアクセスされる危険は、パソコンに比べて少ないです。

タイトルとURLをコピーしました