ニュース

偽の「00000JAPAN」Wi-Fiアクセスポイントに念のため注意

 最初に断っておくが、偽の「00000JAPAN」アクセスポイント(AP)による被害がすでに発生していることが確認されたわけではない。熊本・大分での地震を受け、SSID「00000JAPAN」による無料Wi-Fiスポットを提供している携帯電話キャリア3社によれば、「00000JAPAN」の偽APが見つかったというような報告は、今のところない。

災害時に広く開放される統一SSID「00000JAPAN」

 「00000JAPAN」とは、大規模災害が発生した際に、誰でも公衆Wi-Fiを無料で利用できるようにする取り組み。無線LANビジネス推進連絡会が2014年5月に発表し、今回、平成28年熊本地震を受けて初めての運用となった。普段はキャリア3社がそれぞれ加入者向けに運用しているWi-Fiスポットにおいて、災害時用の統一SSID「00000JAPAN」を設定し、加入者以外にも解放する。また、今回は避難所などに臨時のWi-Fi基地局を設置し、同じくSSID「00000JAPAN」で無料開放している。

 なお、最初の地震が発生した14日以降、九州全域で順次「00000JAPAN」が開始されたが、28日以降は熊本県内および大分県の一部避難所を除き、順次、運用を終了することとなった。

正規の「00000JAPAN」かどうか判断する方法は?

 偽APとは、公衆Wi-Fiサービスなどと同一あるいは紛らわしい文字列のSSIDをAPに設定することで、だまされて接続してくるユーザーが現れるのを待つ手法。こうしたAPに接続してしまうと、端末の設定しだいでは直接侵入されてしまったり、偽のログインページやウェブサイトに誘導されるなどの攻撃を受ける可能性が考えられる。

 仮に攻撃者が「00000JAPAN」というSSIDでAPを開設した場合、端末側のWi-Fi接続リスト画面などに表示される情報だけからは、それが正規か偽か区別することはできないという。そのため、その付近が「00000JAPAN」の正規提供スポットかどうか、アナログ的な方法で判断するしかない模様だ。すなわち、キャリア3社のWi-Fiスポットを「00000JAPAN」として解放している場所であれば、キャリア3社のWi-Fiサービスのステッカーがどこかにあるはずだ。

 また、避難所に臨時に設置されている場合でも、原則として「00000JAPAN」のスポットであることを掲示しているという。ただし、災害発生当初の避難所が混乱していた状況を考えると、そうした掲示が徹底されていない可能性もあるとしている。

NTTドコモ、au、ソフトバンクの公衆Wi-Fiスポットのステッカー

偽APからの防衛に、自動接続設定オフなどの対策を

 悪意を持って意図的に公衆Wi-Fiなどと同一のSSIDを設定した偽APのリスクは、何も「00000JAPAN」に限ったものではない。しかし、災害発生下で提供される「00000JAPAN」は、普段は利用しないような場所のAPを非常事態の中で利用するものであり、あわてて接続してしまう状況も大いに考えられる。

 また、すでに被災地で発生しているという空き巣・詐欺など災害につけ込んだ犯罪と比べると、偽APは、攻撃者にとってすぐに金銭に結び付くようなものではないと思われ、「00000JAPAN」は危険性よりも利便性の方がはるかに大きいかもしれない。しかし今後、被災地の状況が落ち着いてくるに従い、こうした攻撃手法が登場してくる可能性が全くないわけではない。Wi-Fi接続画面に表示されているそのSSID「00000JAPAN」が正規のAPかどうか、落ち着いて確認した上で接続・利用する必要がある。

 今回の地震では「00000JAPAN」のほかにも、九州のいくつかの自治体が運用している公衆Wi-Fiにおいて、ユーザー登録手続きなしで利用できるようにするなどの措置もとられている。こうした自治体などで提供している公衆Wi-Fiについても同様に、同一SSIDの偽APに接続してしまわないよう注意する必要がある。無料公衆Wi-Fiについては、一度接続したSSIDに次回から自動的に接続する設定はオフにしておいた方がいいだろう。

「ケータイ Watch」スタッフが某所で捕捉したWi-FiのSSID。これが東京・秋葉原だったから明らかに怪しいと判断できたものの、福岡市内だったら判断が難しかっただろう(この画面写真は、偽APの例を示すイメージ画像です。「Fukuoka_City_Wi-Fi」は、今回の地震を受けてユーザー登録手続きなしで開放されている自治体Wi-Fiには含まれていません)

 なお、公衆Wi-Fiを利用するにあたっては、偽APのほか、第三者から容易に電波を傍受できるというリスクがあることにも留意しておかなければならない。個人情報の入力やメッセージのやり取りなどを伴うネット利用については、利用するウェブサイト/サービスが暗号化通信(HTTPSなど)に対応していることを確認してから行う必要がある。

(永沢 茂)