旅行先やカフェで盗聴!?　これだけは知っておきたい公衆Wi-Fiの安全な使い方

1. 通信料金の節約

　スマートフォンの契約プランには、毎月使えるデータ通信量（ギガ）の上限がある。これに対して、公衆Wi-Fiに接続すると、スマートフォンの回線を使わずにインターネットが利用できるため、契約プランに含まれるデータ通信量を消費しなくて済む。これにより、通信料金を気にすることなく、高画質な動画の視聴や、サイズの大きなアプリのダウンロードなどが可能となる。

2. 災害時の命綱になる

　公衆Wi-Fiは、地震や豪雨などの災害が発生し、携帯電話の回線が混雑したり、使えなくなったりした時に、代替の通信手段として大きな役割を果たす。中でも重要なのが災害時に無料で開放される統一ネットワーク「00000JAPAN」（ファイブゼロ・ジャパン）だ。誰でもパスワードなしで接続でき、安否確認や情報収集に利用できる緊急のライフラインとなる。近年では、西日本豪雨や能登半島地震の際にも連絡手段として活用された。

災害用統一SSID「00000JAPAN」

　このように、公衆Wi-Fiは日常生活から緊急時まで活用できる身近な存在となっているが、その便利さを悪用する事例も増えてきている。セキュリティ被害というと、大きな企業を狙ったものと思われがちだが、「カフェでWi-Fiを利用していただけなのに個人情報が漏洩した」などといった日常生活の中で、個人がターゲットとなる事例も海外では存在する。

【被害の実例】空港の偽Wi-Fiで個人情報が盗まれた！

　2024年4月にかけて、オーストラリアの空港や航空機内で、悪意のある人物が本物のフリーWi-Fiになりすました「偽アクセスポイント（Evil Twin）」を設置し、多くの利用者の情報を盗むという事件が発生した。

　犯人は、パース、メルボルン、アデレードの空港などで、本物そっくりの接続先名（SSID）を設定した偽のフリーWi-Fiを設置。接続した利用者を偽のログインページに誘導し、メールやSNSのIDとパスワードを入力させて個人情報を不正に入手し、他人のソーシャルメディアに違法にアクセスしてプライベートな画像や情報を盗み取った。

　この事件は、疑わしいWi-Fiネットワークを発見した従業員の調査により発覚し、その後、航空会社が調査を開始。犯人は逮捕され、懲役7年4カ月の刑が科される結果となった。

　海外の事例となるが、旅行の際に注意が必要なことを学べるうえ、国内の空港や駅、カフェなどの公衆Wi-Fiでも同じことが発生し得る事例となっている。見覚えがあるWi-Fiだからといって、安易に信用するのは危険と言える。

▼ WA man jailed for stealing intimate material and using ‘evil twin’ WiFi networks（AFP：The Australian Federal Police）
https://www.afp.gov.au/news-centre/media-release/wa-man-jailed-stealing-intimate-material-and-using-evil-twin-wifi

【起きうる事例】災害時に役立つ「00000JAPAN」の悪用

　公衆Wi-Fiのメリットとして紹介した「00000JAPAN」だが、その仕組み上、大きなリスクも抱えている。

　00000JAPANは、緊急時に誰でもすぐ使えるように、パスワードなしで接続できる。このため、無線区間の通信内容が暗号化されず、悪意のある第三者に通信内容を盗聴されたり、あるいはパスワードなしで接続できる偽の「00000JAPAN」が設置されたりするリスクがある。

　実際、2018年7月に発生した西日本豪雨（平成30年7月豪雨）の際、当時の内閣サイバーセキュリティセンター（NISC ※現在の国家サイバー統括室（NCO））は、Twitter（現在のX）にて、「暗号化されていないリスク」「安否確認や情報収集のみに利用し、IDやパスワード、個人情報の入力は絶対に避けるべき」ことを警告した経緯がある。

国家サイバー統括室の注意メッセージ

　こうした事例は、利用者の視点で見破ることが非常に困難であったり、緊急時のため他に通信を確保する手段がない追い込まれた状況であったりと、「利用を避ける」ことが難しいことを示している。

チェック1：Wi-Fiのセキュリティ方式はどうなってる？

　接続方法の案内掲示などで、公衆Wi-Fiの仕様を確認できる場合は、あらかじめWi-Fiがどのセキュリティ方式を使っているかを確認しておこう。もしも、事前に確認できない場合は、接続後にWindowsの設定画面から確認できる。方式によってセキュリティ強度が大きく異なるため、セキュリティ強度が低い方式の場合は十分な注意が必要となる。

　特に、WPAやWEP、暗号化なしの場合、またWPA2であっても市中でよく使われているWPA2-PSK方式の場合は、容易に解読できる状態にあるため、この後のチェック2で紹介する“サイトとの通信の暗号化”について十分に確認する必要がある。

　なお、近年は、こうした従来型の公衆Wi-Fiのしくみが改善された安全な方式も採用されている。例えば、携帯電話事業者が提供する公衆Wi-FiのSIM認証、国際的な仕組みのOpenRoamingなどが採用されている。これらの方式では、自動的に接続する手軽さ、強力な暗号化、偽アクセスポイントへの接続を防ぐ技術が盛り込まれており、安全に利用できる。

Windows 11は「設定」-「ネットワークとインターネット」-接続中のWi-Fiの「プロパティ」をクリックすることで確認できる

チェック2：サイトとの通信は暗号化されている？　URLは正しい？

　公衆Wi-Fiを利用する際にもっとも重要なのは、端末と接続先のウェブサイトの間の通信が暗号化によって保護されているかどうかを確認することとなる。例えWi-Fi自体が暗号化されていなくても、ウェブサイトとの通信が「HTTPS通信」で暗号化されていれば、仮に公衆Wi-Fiで通信を盗聴されても、データの中身を保護することができる。また、HTTPS通信できていても本物のURLに似せた偽URLの可能性もあるのであわせてURL全体を確認したい。

• ブラウザのアドレスバーを見て、接続先のアドレス（URL）がhttp://ではなくhttps://から始まっていることを必ず確認する
• アドレスバーに鍵、あるいはスライドバーのようなアイコンが表示されていることを確認する。もしも、「！」マークや「セキュリティ保護なし」という警告が表示された場合は、通信が暗号化されていないので、やむを得ない場合以外は利用を中断する
• 接続先のアドレスが正しいかを確認する。いつも使っているサイトに似たURLや著名なサイトと1文字だけ違う偽URLに接続していないかを確認する
• ブラウザ以外の通信も暗号化されているかを確認する。メール送受信（SMTP、POP、IMAP）、ファイル転送（FTP）などを利用する場合は、暗号化が可能な通信方式（SMTPs、SFTPなど）を利用する
• SNSやゲームなどのアプリの通信が暗号化されているかを判断するのは困難。ただし、ヘルプページやサポート情報などで通信が暗号化されているかどうかを確認できる場合がある

アドレスバーに「セキュリティ保護なし」と表示されたときは暗号化されていないので注意

チェック3：PCの共有設定に注意

　不特定多数の利用者が接続する公衆Wi-Fiでは、端末同士の相互通信が遮断されるようになっていることもある。ただし、すべての公衆Wi-Fiで、端末同士の通信が遮断されているとは限らないため、以下の点をチェックしておこう。

• PC上に共有フォルダーがある場合は共有を無効化しておく
• 共有を有効にする場合は認証機能を利用してアクセスできるユーザーを限定する

フォルダーの共有をオフにしておく