「大人の常識」は通用しない！
スマホネイティブ世代のためのセキュリティ対策とは？

フリーWi-Fiのセキュリティ対策は「使わないこと」!?

　全く警戒しないエミの行動は、実はかなりリスキー。フリーWi-Fiでは、通信内容を盗み見されるリスクもあるからです。

フリーWi-Fiは使わないこと！　それが大人の常識!?　（画像素材：PIXTA）

　皆さんはどのように感じられたでしょうか。「安全性を考えるならフリーWi-Fiにつなぐなんてありえない」という人もいるでしょう。そのように考えて、意識してフリーWi-Fiに接続しないようにしている保護者世代は多いはずです。

　「スマホでのネット利用なら、モバイル回線で十分。自分は一番少ない通信容量の契約で十分だし、子どもたちがあんなに何に使うのか分からない」と考える人もいらっしゃるでしょう。

　しかし最近、若者世代の間では、フリーWi-Fiに接続して“ギガ”を節約するのは常識です。SNSの中でも、YouTube、Instagramストーリーズ、TikTokなど、動画系のアプリは大人気。SNSを見ているだけで、ギガはどんどん減ってしまいます。

　SNSをメインのコミュニケーションツールとする若者は、月末にはギガを使い果たし、通信速度制限で低速になっている場合も少なくありません。「低速になっていて見られない友だちのために、ウェブ上の情報も“URL”ではなく“スクリーンショット”で送る」という話を聞くほどです。

　「動画は意識してWi-Fiで見るようにしている」と若者たちは口々に言います。フリーWi-Fiがあったら、むしろ積極的に利用しているのが現状なのです。大学の中には、学生たちが学内Wi-Fiを利用しすぎて研究などに支障が出たため、学内でのSNS利用を制限しているところもあるほどです。

大丈夫なフリーWi-Fiの使い方とは？
“なりすましアクセスポイント”の存在にも注意

　フリーWi-Fiの危険性は、保護者世代ではよく知られている話かもしれません。しかし、どのようなフリーWi-Fiが危険なのか、子どもに正しく教えることはできるでしょうか？

　すでにご説明した通り、フリーWi-Fiの中には、無線通信が暗号化されておらず、通信の内容を簡単に盗み見らてしまうものもあります。安全のためには、無線通信が暗号化されていないもの、あるいは暗号がすぐに解読されてしまう「WEP」という方式で暗号化されているフリーWi-Fiには“接続しないこと”が大切です。

　また、フリーWi-Fiなどを装った“なりすましアクセスポイント”の可能性についても留意しておかなければなりません。

　Wi-FiのSSID（Wi-Fiのアクセスポイントを識別するための名前）とパスワードは、アクセスポイントの持ち主が自由に設定できるようになっているため、正規のフリーWi-Fiサービスと全く同じSSID・パスワードを設定したアクセスポイントを、誰でも簡単に設置できることになります。そうしてフリーWi-Fiを装った不正なアクセスポイントを悪意ある攻撃者が用意すれば、そのWi-Fiに接続してきた利用者を偽サイトへ誘導したりする“中間者攻撃”が可能になります。

iOSのWi-Fi選択画面。SSIDを見ただけでは、それがフリーWi-Fiの正規のアクセスポイントなのか、“なりすまし”なのか判別できない

Wi-Fiの「自動接続」設定は便利だが、“なりすまし”アクセスポイントに自動的につながってしまう可能性もあることを覚えておきたい。特にフリーWi-Fiに対しては、自動接続はオフにしておくことが推奨される

　なお、フリーWi-Fi利用時は、SNSやウェブメール、オンラインバンキングなど、ID・パスワードを入力してログインするサービスは利用を避けるのがおすすめです。こうしたサービスは当然、サーバーまでの通信を「HTTPS」で暗号化し、たとえ通信を傍受されたとしても、その内容までは分からないように対策されているはずです。実際、ウェブブラウザーからそうしたサービスのサイトにアクセスすると、HTTPSで暗号化通信が行われていることがアドレスバーに表示されます。

　しかし、各サービスの個々のアプリでは、そうした表示の仕組みがありません。中には、アプリの説明ページに暗号化通信を行っていることを示しているものもありますが、本当にHTTPSで通信しているかどうか、一般のスマホユーザーが手軽に確認する手立てがないため、フリーWi-Fiでは利用を避けたほうが安心なのです。その際、前面に表示しているアプリだけでなく、バックエンドで通信しているアプリにも留意してください。

Wi-Fi利用時の安全性、「ウイルスバスター モバイル」でチェック可能

　保護者としては、フリーWi-Fiを使うリスクについて理解し、きちんと子どもに説明できるようになることが重要だ。それとあわせて、子どもにスマートフォンを持たせる際には、最近の若者のネット利用スタイルにも対応したセキュリティアプリをインストールしてあげることも保護者の役割だろう。

　トレンドマイクロが提供するセキュリティアプリ「ウイルスバスター モバイル」では、Wi-Fiに接続する際、通信内容の盗み見などのリスクがないかどうかチェックする「Wi-Fi接続の安全性チェック」機能を搭載。Wi-Fiが暗号化されていない場合などに注意喚起画面を表示し、他のWi-Fiまたは4G/3Gのモバイル回線を使うようユーザーに注意を促す。

　なお、「ウイルスバスター モバイル」のiOS版とAndroid版では若干、機能が異なっている。iOS版では、暗号化の有無のみの判定だが（※）、Android版では、たとえWi-Fiが暗号化されていても、暗号強度が弱く現在では利用が推奨されていない「WEP」方式の場合もリスクありと判定される。

　このほかAndroid版では、利用者を偽サイトへ誘導するなどの“中間者攻撃”が行われている可能性のあるWi-Fiアクセスポイントも検出可能だ。具体的には“ARPスプーフィング”といった手口が該当する。攻撃者自身がフリーWi-Fiを装って設置した“なりすましアクセスポイント”や、管理の甘いWi-Fiアクセスポイント機器の設定を改ざんするパターンなど、海外ではこうした攻撃手法も実際に確認されているという。

※iOSの仕様により、接続中のWi-Fiの暗号化の種類の情報までは、各アプリ側から取得できないため。iOSの「設定」アプリのWi-Fi画面では、「WEP」方式などの暗号化方式で接続している場合に、安全性が低いWi-Fiであることが表示される。ユーザーはこの画面で、暗号化方式がWEPかどうかを確認できる。

アカウントの“乗っ取り”被害を知らない？

　エミの行動は、今回もかなりリスキーでした。この広告メッセージは、ネット詐欺だった可能性が高いのです。

　サングラスの偽広告メッセージは有名ですが、その他にも以下のようなメッセージには要注意。

「アプリが開けないんだけど、代わりに開いてみてくれる？」
「携帯番号を教えて。SMSで4桁の認証番号が届いたら教えて」
「今時間ありますか？　忙しいですか？　手伝ってもらっていいですか？」

　このようなメッセージは、乗っ取られたアカウントから送られて来る典型的なものです。友人・知人のアカウントから送られて来ても、このようなメッセージとともに送られて来る不審なURLやファイルなどには注意を払う必要があります。

　「SNSアカウントの乗っ取りが流行っていることは常識。乗っ取り犯のメッセージになんか引っかかるはずはない」と考える人は多いでしょう。「なりすましメッセージはパターンが決まっている。うちの子に限って知らないはずがない」。

　また、保護者世代はスパムメールに慣れているので、リテラシーも高め。「不審なURLやファイルが送られて来たら削除。送り主に覚えがないもの、メールアドレスがおかしいものは削除」「IDとパスワードを使い回さないとか、誕生日などの類推されやすいパスワードは使わないことも常識だ」。

　確かにその通りです。しかし、保護者世代の常識は、子どもにとっても当たり前の知識となっているのでしょうか？

“乗っ取り”被害が多いのに、薄いセキュリティ意識

　メール時代は「身に覚えのないメールが送られた来たら削除」は基本でしたが、現在は、SNSアカウントの乗っ取りや、実在の企業に似せたなりすましSMS（ショートメッセージサービス）による手口が広まっています。エミの場合のように、本物の友だちのアカウントなどから送られて来るので、分かりづらいのは事実。

　現在はLINEだけでなく、FacebookやInstagram、Twitterやmixiなど、さまざまなアカウントが狙われ、乗っ取り被害が出ています。サングラスのレイバンや、オークリーなどの偽ECサイトへのリンクが付いたメッセージが送られて来たことのある人、逆に自分のアカウントを乗っ取られてそのような投稿をさせられてしまった人も実際にいるのではないでしょうか。

　若者のセキュリティ意識は、かなり低め。Twitterなどで「乗っ取り」で検索すると、「アカウント乗っ取られたので、新しいアカウントを作りました」などというツイートがたくさん見つかります。誕生日や名前、ニックネームなどを使った類推しやすいパスワードを使っているため、友人・知人による乗っ取りも多いのです（SNS運営企業各社も、対策として乗っ取り防止のための機能を多数公開しています。一方、若者世代の多くはデフォルトの設定でSNSを使っており、乗っ取り防止の設定をできることも知らない学生が多数います）。

　最近は、宅配業者などの名前で、ユーザーの電話番号宛てにSMSを送るフィッシング詐欺も増えています。送られて来たURLをタップすると本物そっくりのサイトが立ち上がるので、つい個人情報を入力してしまうというわけです。このような手口は、SMSとフィッシング（Phishing）詐欺の造語で“スミッシング（Smishing）”と言われたりします。

　GoogleやAppleなどをかたった“当選詐欺”も流行しています。例えばAppleをかたるものでは、iPhoneの新機種を出すためのアンケートに答えると最新機種がもらえるというメッセージが来ます。実際にもらったという体験談も掲載されており、お金がない若者はだまされやすいかもしれません。

宅配業者を装ったSMSと、そこから誘導される偽サイトの例

当選詐欺のメッセージとその誘導先のページの例

個人が特定され、プライバシーの流出に至る事件が多発

　エミは、実名や顔写真、大学名、学部など、Twitter上で個人情報を公開しすぎているようです。Twitter上の情報は検索の対象となり、誰でも投稿を見ることができます。ところが、エミは誰でも見られる場に、自分と分かる状態で発言をしてしまっているようです。

　また、匿名だからと安心してサブアカウントで投稿している行動もかなりリスキー。匿名で利用していても、個人を特定されて個人情報がさらされたりする事件は多数起きているからです。

　保護者世代では「Twitterはそもそも利用しなければいい」と考える人もいるかもしれません。「災害時には使えると聞くので、緊急時だけ使えばいいのに」。また、「SNSを匿名で利用していても個人が特定されることは、うちの子なら知っているはず」と高をくくっている保護者の方もいるかもしれません。

投稿の公開範囲＝見られる範囲を把握していない？

　10代の間では、TwitterはLINEに次いで高い人気を誇っています。若者世代では、Twitterでは複数のアカウントを作り、交友関係や趣味、発信する内容などごとに使い分けるのが普通。「Twitterを使うな」というのは、現実的ではないでしょう。

　Twitterは、趣味や関心でつながる“情報発信向き”のサービスです。ところが若者世代は自分の発信を“広く”届けるためにではなく、LINEと同じような仲間内でのやり取りに使っていることも多いのです。それゆえ、仲間内だけに届けるつもりの投稿が拡散されてしまい、炎上事件に発展することも多いというわけです。

　Twitterで顔写真付きで「今日は仮病でゼミを休んでデート」という投稿をし、教授に見とがめられた学生もいます。その学生は、教授に見られてしまうとは思ってもみなかったのでしょう。しかし実際はこのように投稿を見られてしまい、問題になる例は少なくないのです。

　じつはTwitterやFacebookは、デフォルトの設定のままでは、多くの人に投稿を見つけられやすくできています。また、投稿も誰からでも見ることができ、検索の対象となるような設定となっています。そもそも、そのような設定になっていることや、さらには公開範囲が変えられることを知らない学生もいます。

　Twitterでは、相手があなたのメールアドレスや電話番号を連絡先に登録している場合、Twitterに連絡先をアップロードすることであなたのアカウントを見つけることがあります。こうした機能があることを知らず、匿名で使っていたのに自分の裏アカウントを見つけられてしまったという人もいます。

Twitter公式アプリの設定画面。ツイートの公開・非公開や、ツイートに位置情報を付けるかどうかなど、プライバシー関連の設定項目は、いくつかの画面に分散していて分かりにくい

「Twitter.com」のPC版から設定すると、「プライバシーとセキュリティ」画面に一覧化されていて分かりやすい

FacebookやTwitterの推奨設定を「ウイルスバスター モバイル」がアドバイス

　「ウイルスバスター モバイル」では、「SNS設定のチェック」機能を搭載。投稿の公開範囲やタグ付きの許可設定など、SNSのプライバシー設定の安全性を判定してくれる。iOS版ではFacebookとTwitter、Android版でFacebookに対応している。「ウイルスバスター モバイル」上の画面からSNSのアカウントを入力することで、各SNSにログインしてプライバシーに関連する設定をチェックし、より安全な設定を推奨する仕組みだ。

　Facebookのプライバシー関連設定について、チェック対象となる項目は次の通り。それぞれの設定値が以下のようになっている場合に、変更を推奨される。

• 今後の投稿の共有範囲：公開
• メールアドレスを使って私を検索できる人：全員
• 電話番号を使って私を検索できる人：全員
• Facebook外の検索エンジンによるプロフィールへのリンクを許可しますか？：はい

　一方、Twitter（iOS版のみ）では以下の通り。

• ツイートを非公開にする：オフ
• 位置情報付きでツイート ：オン
• 自分を画像にタグ付けすることを許可：画像へのタグ付けをすべてのアカウントに許可する
• メールアドレスの照合と通知を許可する：オン
• 電話番号の照合と通知を許可する：オン

　変更が推奨される設定項目があった場合、「ウイルスバスター モバイル」上からワンタップで推奨設定に一括変更が可能だ。ただし、これらはあくまでも安全性を優先した観点での推奨設定だ。例えば、Twitterではツイートを非公開にすることを推奨されるが、そうすべきかどうかは、そのTwitterアカウントの使用目的を踏まえてユーザー自身が判断すればいいだろう。推奨設定に一括変更するためというよりは、FacebookとTwitterにおいてどういったプライバシー設定項目があるのかを知り、投稿範囲などをどうするべきかきちんと考えるための機能と言えそうだ。

　これからの時期、子どもにスマートフォンを初めて持たせたり、進入学で新しい機種を買ってあげたりする保護者の方もいるはずだ。保護者としては、スマホ代金・利用料金を出すだけでなく、セキュリティアプリもあわせてインストールし、こうした機能でSNSのプライバシー設定をチェックして、適切なSNSでの情報発信の範囲について子どもと一緒に考えてみてはどうだろうか。