掘り下げると長くなるネットの疑問

「フリーWi-Fiを『むやみに使わないように』と言われてきたので、今でも不安です」~ネットの疑問をIIJに聞きました

  • 松永 侑貴惠

2025年8月20日 06:00

【今回の質問】
中学・高校の頃、学校で「フリーWi-Fiはむやみに接続しないように」と強く言われたので、今でも利用を躊躇してしまいます。そこまで心配しないでいいと言われることもあるけど、「心配ない、安全だ」と言い切れるわけでもないようで……。フリーWi-Fiって、気軽に使っても問題ないのでしょうか?
 このコーナーでは、黎明期から個人・法人向けにさまざまなサービスを提供し、日本のインターネットを支え・見守り続けてきた株式会社インターネットイニシアティブ(IIJ)の皆さんに、若手ライターが集めた若い世代の「素朴なインターネットの疑問」について、一緒に考えていただきます。

 そして、そこから、さまざまな世代や立場の人たちの「共通言語」となるような、インターネットに関する基礎的な理解を見つけ出したいと考えています。本連載に関しては、編集部コラム「IIJの皆さんと『掘り下げると長くなるネットの疑問~IIJに聞きました』という連載を始めます」も、あわせてご覧ください(編集部)



今回の回答者:ネットワークサービス事業本部 小池一樹さん

ネットワークサービス事業本部 セキュリティ本部 セキュリティオペレーション部
IIJの顧客である企業・組織のネットワークを24時間365日監視するアナリストの後方支援として、専用のインフラの整備やマルウェアの調査に携わっています。

[目次]

小池さん:街中や飲食店、公共施設などに設置されているフリーWi-Fi(公衆Wi-Fi)について、セキュリティを突き詰めて考えるなら「使わない」が結論になります。利用するたび入念に安全性を検証するくらいなら、自分でモバイルWi-Fiルーターなどを持ち歩いた方がいいですね。また、ほとんどのフリーWi-Fiは、トラブルに対して「提供者は一切の責任を負わない」としていると思います。

 でも、うまく使えば手軽で便利なサービスであることも確かですよね。日常でフリーWi-Fiを使うことはありますか?

——私も学校で「使わないように」と言われた記憶があるので抵抗感も強いのですが、使うことはありますね。フリーWi-Fiが提供されているお店で動画を見たいときなど、データ通信量を節約しようと思って……。よく言われるように、ECサイトとかオンラインバンキングとか、個人情報や決済情報などを扱うサービスは利用しないようにしています。

小池さん:ですよね! フリーWi-Fiを使えば、スマートフォンのデータ通信量を節約できます。その際、個人情報などを扱うサービスは避けるのも、いいことだと思います

 フリーWi-Fiは便利なインターネット接続サービスであるのと同時に、緊急時の通信インフラとしての役割もあります。災害時、または機器のトラブルなどでスマートフォンのモバイル通信が使えないとき、フリーWi-Fiが利用できれば、通信環境を確保できます。

 災害時に、全国共通で「00000JAPAN」という統一のSSIDによるWi-Fi接続サービスが提供される仕組みがあります。まさに緊急時用の通信インフラとなるわけです。

——大規模災害でモバイル回線が使えなくなってしまっても、00000JAPANに接続できれば、安否確認サービスなどにアクセスできるようになるわけですね。

小池さん:そうですね。00000JAPANの場合は、契約や認証なども不要で、誰でもSSIDを選ぶだけで利用できるようになっています。ふだんはフリーWi-Fiを使わないとしても、いざというときに役立つフリーWi-Fiがあることは、知っておいて損はないでしょう。

 ところで、今回の質問で「むやみにフリーWi-Fiに接続しないように」と言われたのは、いつ頃の話になりますか?

——ちょうど10年前ぐらい、2015年前後のことになります。

小池さん:なるほど。それくらいの頃には、私も同様に学校で言われた記憶があります。

 今回はフリーWi-Fiについて、注意すべき点と安全に使う方法を、できるだけポイントを絞ってお伝えします。そして、かつて「むやみにフリーWi-Fiに接続しないように」と、けっこう強く言われていた背景についても考察できればと思います。


ポイントを押さえて便利に使おう

小池さん:今回お話する「安全に使う方法」は、「100%安全に使える方法」というわけではありません。フリーWi-Fiのセキュリティに関して、考えられる問題の全てに対策するのは難しいです。

 でも、「むやみに接続しない」といった曖昧な理解だと、利用するべきときにも躊躇してしまい、かえって困ったことになってしまうかもしれません。ほかの通信手段がないときや、データ通信量を節約したいときなどに効果的に使えるよう、よくあるサイバー攻撃などの一般的に想定されるリスクとその対策を知って、ポイントを押さえた対策で、安全性を高めて使いましょう、というスタンスでお話しします。

 なお、フリーWi-Fiに限らず、セキュリティは複数の手段により多層的に守られるもので、1つ問題があっても、それがすぐ致命的な事態につながるとは限りません。今回の方法を覚えておいていただければ、さまざまな場面で、役立てていただけるかと思います。

——分かりました。よろしくお願いいたします。


発見するのは難しいWi-Fiの「盗聴」

小池さん:さて、フリーWi-Fiで注意が必要なリスクとして、今回は次の2点を取り上げます。1点目は 通信内容を盗まれる「盗聴のリスク」 、2点目は偽の アクセスポイントや偽のサーバーに接続させられる「なりすましのリスク」 です。それぞれを詳しく見ていきましょう。

【解説】今回取り上げる、「盗聴のリスク」「なりすましのリスク」は、それぞれ直接的には通信内容(フリーWi-Fi接続中にやり取りした情報)の窃取につながります。

フリーWi-Fiに限らず、安全性が確認されていない接続サービスを利用しているときには、基本的な対策として、個人情報やクレジットカード情報、機密情報などの重要な情報の入力や、これらを扱うアプリ・サービスの利用を避けることは効果的です。先述の小池さんの「個人情報などを扱うサービスは避ける」も、このことを指しています。

 まず「盗聴のリスク」ですが、これはWi-Fiの電波を傍受(通信している当事者であるフリーのWi-Fi提供者および利用者の承諾なく受信すること)する第三者により、通信内容が盗まれてしまうことを指します。

フリーWi-Fiの盗聴のイメージ。フリーWi-Fiアクセスポイントおよびデバイスの電波が届く場所で誰かが電波を傍受していても、気付くのは困難です

 例えばお店のフリーWi-Fiなら、同じお店の中などのWi-Fiの電波が届く場所に、電波を受信できる機器を設置して傍受します。傍受する機器は、知識がある人ならWi-Fi通信機能を搭載した簡単なコンピューターがあれば作ることができ、例えば、こんな小さな機器でも傍受が可能です。

小型コンピューター「Raspberry Pi」にUSB Wi-Fiアダプターを取り付けたもの。このようなデバイスで、Wi-Fiの電波の傍受が可能です

——これは、確かに見つけるのは難しいでしょうね。

小池さん:そうなんです。電波を傍受しての盗聴は、ユーザーのフリーWi-Fiの利用に影響を与えないので、通信の異常から気付くこともできません。フリーWi-Fiを盗聴する人がいたとしても、私たちがそれを発見するのは、ほぼ無理だと言えます。

 ほとんどのWi-Fiアクセスポイントでは、デバイス(スマートフォンやPC)とWi-Fiアクセスポイントの間の通信を「暗号化」して、傍受しただけでは内容が分からないようになっています。そして、暗号化の方法は「WPA2」「WPA3」など複数あります。

 しかし、お店にSSIDとパスワードが掲示されていて誰でも見られるようなフリーWi-Fiの場合、そのSSIDで使われている「暗号化のためのキー」が分かってしまうので、暗号化の方法次第では、知識のある⼈なら復号できてしまいます。

——そうなると……。気付かない間に盗聴され、通信内容を盗み見されてしまうことはある、ということですか?


「HTTPS」なら盗聴を対策できる!

小池さん:ところが、そうとも限りません。「https」で始まるURLのウェブサイトでは、デバイスとウェブサイト(のサーバー)と間の通信が暗号化され、Wi-Fi通信の内容が盗聴されても、通信内容が知られることはなくなります

 インターネットでウェブのデータを転送するための通信方式(プロトコル)を「HTTP」と言うのですが、これに、「SSL」という暗号化技術を組み合わせたのが「HTTPS」です。ウェブサイト(ウェブページ)のURLの先頭は「http」や「https」で始まっていて、「https」なら「HTTPS」が使われていることが分かる、というわけです。

 現在はほとんどのウェブサイトがHTTPSになっていて、HTTPのウェブサイトを見かける機会はだいぶ減ってきました。

——イメージとしては、HTTPSによってデバイスとウェブサイトの間で暗号化された通信が、デバイスとフリーWi-Fiのアクセスポイントの間で二重に暗号化されてやり取りされているとき、フリーWi-Fi側が復号されても問題ない、ということですね。確かに、安心できますね。

HTTPSによる通信のイメージ。ウェブサイトとデバイスの間の通信が暗号化されており、フリーWi-Fiの通信を傍受されても、HTTPSによる暗号化は復号できない
【解説】ウェブページのデータの転送に使われるプロトコルであるHTTP(HyperText Transfer Protocol)による通信を、SSL/TLS(Secure Sockets Layer/Transport Layer Security)プロトコルによる暗号化されたセキュアな接続の中で行うのが「HTTPS」です。SSL/TLSを指して「SSL」と呼ぶこともあります。

小池さん:HTTPSによるアクセスは、ウェブブラウザーのアドレスバーの左側で確認できます。カギ、あるいはマッチ棒のようにも見えるスライドバーのマークによって、HTTPSによる通信であることが確認できます。

Microsoft EdgeのHTTPS通信を表すマーク(カギ)
Google ChromeのHTTPS通信を表すマーク(スライドバー)

 このHTTPSは、2014年ごろから急速に普及するようになりました。Googleが検索結果にHTTPSのウェブサイトを優先して表示すると宣言し、世界中のウェブサイト運営者が対応を進めた、という経緯があります。当時、何か調べものをするならGoogleで検索して検索結果のページを見るのが定番でしたから、そこに自分のウェブサイトが表示されることは、非常に重要だったのですね。

 つまり、盗聴のリスクを回避できるHTTPSは、10年ぐらい前だと、まだ十分に普及してはいませんでした。当時「フリーWi-Fiにはむやみに接続しないように」と強く言われたのは、httpsが普及しておらず、盗聴などの対策が難しかったことも背景にあったのだと思います。

——なるほど! 10年前と今では事情が違うわけですか。

小池さん:そうです。今でもHTTPのウェブサイトにアクセスするのは避けた方がいいですが、HTTPSのウェブサイトを利用する分には、盗聴のリスクを気にする必要はなくなります。先に述べた「1つ問題があっても、それがすぐ致命的な事態につながるとは限りません」とは、こういうことです。

【解説】Google Chromeなどのウェブブラウザーでは、HTTPS通信を表すマークがカギではなくスライドバーになっています。HTTPSは通信内容を暗号化し、通信の安全を保ちますが、「HTTPSのウェブサイトは(ウェブサイトの内容そのものが)安全である」との誤解が広まってしまったことから、「コントロールされている」だけであると示すスライドバーのマーク(「tune icon」のバリエーションと説明されます)に変更する、とのアナウンスが2023年にされています。

例えばHTTPS通信の詐欺サイトが存在していたら、通信は安全でもサイトの内容は安全ではありません。ところが「HTTPSは安全」という誤解があると、詐欺サイトへの警戒がゆるんでしまう可能性があります。そこで、過剰に「安全」につながる印象を与えないマークに変更されたのです

▼参考記事
An Update on the Lock Icon(Chromium Blog)


偽アクセスポイントも発見するのは難しい

小池さん:続いて、「なりすましのリスク」の話に行きましょう。これは例えば、あるお店のフリーWi-Fiのアクセスポイントと同じSSIDの偽アクセスポイントを、お店の近くに設置し、知らずに接続したデバイスから情報を盗む手口です。

 本物と双子のようにそっくりな、悪意ある偽アクセスポイントということで「Evil Twin」(悪魔の双子)と呼ばれることもあって、接続後の画面などまで本物そっくりに作られると、見破ることは難しいです。一般的なスマートフォンやPCだと、同じSSIDのアクセスポイントで電波がより強い方に、自動的につながってしまいます。

偽アクセスポイントのイメージ。本物のアクセスポイントに代わってユーザーの接続をうばい、偽サイトにアクセスするなどします

 偽アクセスポイントに接続してしまった場合に何が起こるかというと、さまざまなケースが考えられるのですが、典型的な手口としては、ほとんどのウェブサイトに対しては何もせず普通にアクセスできる接続環境を提供し、特定のオンラインバンクやECサイトなどにアクセスしようとした場合だけ偽サイトを表示して、IDやパスワードといった認証情報を入力させ、盗もうとするものがあります。

——こちらも、気付くのは難しそうですね。

小池さん:はい。Wi-Fiアクセスポイントの詳細な情報が分かる分析ソフトを使うなどすれば判別できる可能性はありますが、普通はまず無理でしょう。

 ただし、こちらのケースでもHTTPSが役立ちます。HTTPSのウェブサイトには正規のサイトであることを証明する「SSL証明書」(SSL/TLSサーバー証明書)というものがあるのですが、正規のウェブサイトのURLにアクセスしようとして、偽サイトに誘導された場合、サーバーにSSL証明書がない、またはSSL証明書が不正である、といった異常をウェブブラウザーが検知し、「保護されていない通信」などのメッセージとともに警告画面を表示します。

 フリーWi-Fiを利用している場合に限りませんが、警告画面が表示されたら、アクセスをやめましょう。そして、そのフリーWi-Fiから切断してください。


通信経路の途中に仕掛けられる「中間者攻撃」

小池さん:偽アクセスポイントと似た攻撃で、「中間者攻撃」と呼ばれる手口もあります。こちらは、アクセスポイント自体は正規のものでも、その先に攻撃者のサーバーを介してインターネットに接続するようにして、途中で通信内容を盗聴したり、改ざんしたりするものです。

 これも、気付くのは難しい攻撃です。悪意ある人物によって物理的にネットワーク接続が変更されることもあれば、アクセスポイントが攻撃を受け、中間者攻撃を行うサーバーを経由してアクセスするように設定を変更されることもあります。

中間者攻撃のイメージ。フリーWi-Fiのアクセスポイントからインターネットに接続する途中に攻撃者のサーバーが入り、通信の傍受(盗聴)や改ざんを行います

 中間者攻撃の場合も、HTTPSが守ってくれます。傍受されてもウェブサイトとの通信は暗号化されていますし、HTTPS通信が途中で改ざんされるなどした場合は、ウェブブラウザーがそれを検知して、偽アクセスポイントの場合と同様の警告画面を表示します。具体的には、このような画面です(下図)。

警告画面の例(意図的に中間者攻撃が行われている状態を作り出したうえでアクセスし、警告画面を表示させたものです)

——こういう警告画面、見覚えがあります。そのときは、よく分からないなと思いつつ、そのまま強行してウェブサイトにアクセスしてしまった気が……。

小池さん:不意にこんな画面が表示されても、何かの間違いだろうと思うかもしれませんね。しかし、非常に重要な、ユーザーを守る警告画面なのです。

 以前は確かに、このような警告画面が表示されても「閲覧を続行する」のようなメニュー項目を選択をして、強行してアクセスできました。でも、今ではHTTPSを強制するウェブサイトが増えたため、強行アクセスするためのリンクが表示されることは少なくなりました。

——そうなのですね。このような警告が表示されるのはウェブブラウザーの間違いではなくて、知らない間に危険な状況になっていることを知らせているんだ、ということですね。


ウェブブラウザーの警告に従おう!

小池さん:はい。今回の話を一言でまとめると「ウェブブラウザーの警告を無視してはいけない!」ということになります。ふだん特に意識することはないと思いますが、実は、HTTPSとウェブブラウザーにより、私たちの通信は手厚く守られているんです。

——そもそも今は強行できるケースが少ないとのことですが、もしも警告画面が表示されたときは、疑わずに従って、利用をやめるようにします。

 ちなみに、ウェブブラウザーを利用する場合についてはよく分かったのですが、SNSなどのアプリを利用するときは、どうなるのでしょうか?

小池さん:個々のアプリの仕様までは分かりませんが、アプリ内でHTTPSあるいはそれに類する暗号化通信をしていると考えられます。App StoreやGoogle Playでも登録アプリにそのような条件を設定していて、安全でない通信をするアプリは審査の段階で不合格になるはずです。

 そして、偽アクセスポイントに接続したり中間者攻撃を受けたりしている環境で、そうしたアプリを利用しようとした場合、正常に通信できずにエラーになったり、アプリが動作しなかったりすると考えられます。

【編集部注】盗聴や中間者攻撃のリスクを回避するため通信を暗号化する手段として「VPN」が取り上げられることもあります。VPNは知識のある人が利用したり、企業などで専門家が用意した環境を利用したりして適切に利用すれば効果的ですが、昨今は「無料VPN」などとうたう悪意あるアプリも登場しており、単に「VPNなら安全だ」と思って適当なアプリを利用すると、かえって危険になってしまう可能性があり、注意が必要です。


偽アクセスポイントや中間者攻撃はフリーWi-Fiに限らない

小池さん:フリーWi-Fiは機器などの管理が十分でないケースも比較的多く、盗聴や偽アクセスポイント、中間者攻撃のターゲットにもなりやすいと言えます。フリーWi-Fiを設置している飲食店などのスタッフに、ITに詳しい人がいるとは限らないですし、それに、不特定多数が訪れる場所に設置されるので、ということもあります。

 ただし、フリーWi-Fiに限らず、家庭や企業などのWi-Fi、または有線LAN環境でも、同様に偽のアクセスポイントや中間者攻撃が行われる可能性はあります。不意に警告画面が表示されたら、ネットワークに何か問題が発生している可能性を疑うようにしてください。

 また、ふだんはフリーWi-Fiを使わないと決めている人も、緊急時にフリーWi-Fiを使うことになる可能性はあります。「ウェブブラウザーの警告を無視してはいけない」と頭に入れておいて、慎重に使っていただければと思いますね。

——ありがとうございました。

【回答とまとめ】
 フリーWi-Fiは安全性を保証できたり、「こうすれば100%安全に使える」方法があったりするものではありませんが、データ通信量を節約したいときや緊急時などに、ポイントを押さえて使うことで、必要以上に心配することなく使える、ということを理解しました。

 個人的にもフリーWi-Fiについて学校で「使わないように」「むやみに利用すると危険」のような注意を受けてきたので、漠然とした不安を感じながら使っていましたが、今後は主なリスクを認識したうえで、 ウェブブラウザーの警告に従うことを心がけます。

 今回、特に驚きだったのは、今はHTTPSの普及によって、10年ほど前と比べると、実はかなり安全に使える環境になっていた、ということです。筆者である私も、お話を伺った小池さんも20代ということで、学校などでフリーWi-Fiの危険性についてけっこう強めに教わった経験で意気投合してしまいましたが、同じような記憶のある人は、意外と少なくないのではないでしょうか。