So-net無料ブログ作成
検索選択

公衆無線LANの安全な使い方(1) [トラブルの予防]

観光地や宿泊施設、お店などで利用できる、無料の公衆無線LANサービスが増えつつある。熊本地震に伴い携帯3社が実施した、九州地方のアクセスポイント無料開放も話題だ。便利な半面、安全面の不安が残るこうしたサービスを安全に利用する方法を考えてみたい。

公衆無線LAN(Wi-Fi)には、利用時にユーザーや端末などで認証を行うものと、接続情報を設定するだけで利用できるものとがある。有料サービスの場合は前者。事前に、あるいは初回の利用時に利用登録を行い、ログインしてから利用する無料サービスもこのタイプだ。一般に開放されている無料サービスの場合には、後者のタイプも多く、接続先を識別するSSIDと、無線通信を暗号化している場合には暗号化キー(パスワードと呼ぶこともあるがユーザー認証のものとは異なり共通)を設定するだけで簡単に利用できる。熊本地震を受けて携帯キャリアが無料開放したアクセスポイント(ホットスポットとも)もこのタイプだ。暗号化は行っていないので「00000JAPAN」をSSIDに設定したり、この名前のアクセスポイントを選択したりするだけで利用できる。

 データ通信量の心配もなく、外出先で便利に利用できそうな公衆無線LANだが、盗聴やなりすましが懸念されるサービスが多数あることを気にとめておきたい。通信内容を盗聴されたり、偽のアクセスポイントや偽のWebサイトに誘導されたりする可能性があるのだ。

■モバイル通信は暗号化必須

 無線通信は、電波の届く範囲であれば誰でも受信できる。端末-アクセスポイント間を暗号化なしで運用している無線LANは、公衆の面前で大声で話をしているのと同じ。周囲の誰もが、通信内容を知ることができる。暗号化されている場合でも、暗号化方式が弱かったり、暗号化キーを共有しているケースでは、盗聴される可能性がある。信頼できないサービスや悪意のあるアクセスポイントに接続してしまうと、その先で盗聴される危険もある。公衆無線LANの中には、通信内容が周囲の利用者やサービスの提供者に筒抜けになってしまうものがあるということを、まずは心得ておきたい。特に接続情報を設定するだけで利用できる公衆無線LANの場合には、悪意のあるアクセスポイントの判別が難しく、周囲にあると簡単に引き寄せられてしまうことがあるので注意したい。

 通信回線が信頼できるかどうか分からない場合には、盗聴や改ざんの可能性があることを念頭に、重要な情報は極力やりとりしないようにする。どうしても必要な場合には、必ずSSL/TLS通信で相手に接続し(HTTPS接続)、接続先のURLまたは、接続先の電子証明書に記載された企業名や運営者名が正しいことを確認する。

 SSL/TLS通信は、接続先のサーバとブラウザなどのクライアント間で暗号化通信を行うので、途中で通信内容を盗聴されたり、改されたりする心配がない。接続先は、必ずドメイン名が正しいことを証明する電子証明書(DV証明書)を持っているので、SSL/TLSでエラー無く接続でき、なおかつURLが正しければ、正しい相手に接続していることが保証される。

 接続先によっては、ドメインに加え、発行先組織の実在確認を行っている証明書を使用しているところもある。OV証明書と呼ばれるタイプの証明書の場合には、証明書の中身を確認すると、発行先の組織名が確認できる。大手が採用しているEV証明書の場合には、証明書を開かなくてもたいていのブラウザが、アドレスバーなどに運営者名を表示するようになっている。正しいURLがわからなくても、接続先の正当性が確認できるわけだ。

 なお、一般にはURLが正しければ本物と思われがちだが、信頼性の怪しい回線では、正しいURLで偽物に接続してしまうこともあるので注意が必要だ。詳しい事情は、次回に解説する。

■VPN(Virtual Private Network)

 暗号化によって、インターネット上で専用線並みの安全な通信を提供する、VPNという仕組みがある。多くのパソコンやスマートフォンには、このVPNのクライアント機能を搭載しており、WindowsやOS X Serverには、VPNサーバの機能も用意されている。これを利用すると、回線の信頼性に関係なく、出先とオフィスや自宅を安全に接続でき、VPNサーバ側に中継サーバを用意すれば、SSL/TLSの対応に関係なく、あらゆるインターネットサービスを比較的安全に利用できるようになる。プラネックスの「どこでも日本 ホットラインサービス(MHC01)」のように、家庭内に設置する親機と外出先の有線LANにつなぐ子機間をVPNで接続して中継する機能を提供する製品もある。

 家庭にサーバや新たな機器を設置するのは敷居が高いというのなら、VPNと中継サーバを組み合わせた、有料・無料のサービスを利用する手もある。例えば、筑波大学の実験サービス「VPN Gate」や、インターリンクの「セカイVPN」がそれだ。これらを利用すれば、信頼性の不安な回線でも一定レベルの安全性を確保できる。注意しなければいけないのは、保護されるのがあくまでもVPNサーバとクライアント間だけという点だ。その先は、VPNの保護対象外なので、VPNサーバや中継サーバ、その先の経路や接続先が怪しいと元も子もない。

(2016/04/26 セキュリティ通信)

【参考URL】
・IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」
https://www.ipa.go.jp/security/technicalwatch/201600330.html
・熊本県で発生した地震に伴う公衆無線LANサービスにおける「00000JAPAN」の運用について(無線LANビジネス推進連絡会)
http://wlan-business.org/sp_jp
・MHC01(プラネックス)
https://www.planex.co.jp/products/mhc01/
・VPN Gate(筑波大学)
http://www.vpngate.net/ja/
・セカイVPN(インターリンク)
http://www.interlink.or.jp/service/sekaivpn/