情報セキュリティの分野にはさまざまな専門用語がありますが、その多くについて「詳しくわからない」「他人に説明できるほど理解していない」という方が多いのではないでしょうか。本連載では、カスペルスキーの前田氏に、検索するだけでは理解できないセキュリティ用語を一から解説してもらいます。前回に続き、今回も「Wi-Fi(無線LAN)とセキュリティ」についてお話します。
著者プロフィール前田 典彦(まえだ のりひこ)
マルウェアを中心としたインターネット上のさまざまな脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事。
カスペルスキー 情報セキュリティラボ チーフセキュリティ
エヴァンゲリスト
外出先で、ノートパソコン、スマートフォン、タブレットを使ってインターネットに接続する場合、LTEや3Gなどのモバイルデータ通信網か、Wi-Fi(無線LAN)を使うことになります。
Wi-Fiを利用できる環境では、モバイルデータ通信網経由で接続する場合に問題となる電波や通信料金からを心配しなくてすむケースがほとんどです。しかし、Wi-Fiを使用する際は、モバイルデータ通信網を使う時には考える必要がないセキュリティに関する注意点がいくつか存在します。
前回は、その注意点の1つとして、暗号化方式を取り上げ、利用時のポイントを説明しました。今回は、アクセスポイントと位置情報に関する注意点を紹介します。
そのアクセスポイント、本物ですか?
Wi-Fiのアクセスポイントに接続するたびに、パスワードを入力するのは面倒ですので、一度設定して接続したことがあるネットワークには、次回以降自動接続する設定をしている人も多いでしょう。ここでは、自動接続設定自体を否定しません。
気を付けたいのは、接続しようとしたアクセスポイントの名称(SSIDと呼びます、*1)とその仕組みです。普段接続しているものと同じであったり、なんとなくそれっぽいもの(例えば、ホテル内でホテル名のアクセスポイントがある場合、空港のロビーで空港名のアクセスポイントがある場合など)であったりする時、注意せずに接続する人が意外に多いということです。
アクセスポイントの名称(SSID)は任意に設定でき、なおかつ、同じ名称のものがお互いに電波の届く範囲であっても存在できるということを、必ず理解しておく必要があります。
先ほどのホテルの例で言えば、ホテルの建物に入って少し歩き回れば、宿泊客に提供しているWi-FiのSSIDを把握することができます。認証がかかっていたとしても、ホテルの従業員に聞くか、単に尋ねただけでは教えてくれなくても、客として宿泊すれば認証情報を入手できます。
つまり、条件がそろえば、ホテルに関係のない第三者が、まったく同じSSIDで、場合によっては認証情報もホテルが用意したものと同じWi-Fiアクセスポイントを、勝手に設定し設置することが可能なのです。したがって、利用者がWi-Fiアクセスポイント一覧の中から選んだアクセスポイントが、実はホテルが提供しているものではなく、第三者が設定したものだった……という事態も、可能性としてはありうるのです。この場合、Wi-Fiの暗号化も意味をなしません。
ここではホテルを例に出しましたが、SSIDを公開している(見える状態にしている)設定で運用している場合、技術的には起こり得る問題です。なお、SSIDは、公開しない設定(ステルス設定)も可能なので、自宅でWi-Fiルータを利用している場合は、公開しないような設定にしておいたほうがよいでしょう。
*1:アルファベット読みで「えすえすあいでぃー」と読みます。
Wi-Fiと位置情報
Wi-Fiのセキュリティとして知っておきたいことが、もう1つあります。それは、位置情報とWi-Fiの関係です。位置情報と言えば、昨今のスマートフォンやデジタルカメラに標準的に搭載されているGPS機能を想起する方が多いと思いますが、最近のスマートフォンやタブレットには、GPSに加えて、公衆回線網の基地局およびWi-Fiアクセスポイントから位置情報を得る機能が標準的に搭載されています。それぞれの位置情報取得技術には、特性(得手不得手)があるので、位置情報の精度を上げるため複数の方式を組み合わせているのです。
GPSは、宇宙空間の人工衛星との通信を使用して緯度経度、つまり位置情報を求めるので、空が見えていない場所では、精度が落ちることがあります。公衆回線網の場合は、どの基地局の電波を拾っているかで位置情報を得るのですが、基地局の設置密度を考えると、数kmレベルの誤差があり得ます。Wi-Fiの場合は、どのアクセスポイントに接続しているかで位置情報を求める手法です。
例えば、Apple(*2)やGoogle(*3)などは、アクセスポイントとその位置情報のデータベースを構築して運用しており、これらの情報を組み合わせることで、より精度の高い位置情報を端末上で得ることができるようになっています。
Wi-Fiによる位置情報取得機能に関して注意したいのが、Wi-Fiに接続をしていない場合でも電波は拾っているということです。特にスマートフォンの場合、Wi-Fi機能がオンの状態で未接続の時、いわゆる「傘マーク」あるいは「扇マーク」が表示されませんが、Wi-Fi機能がオンであれば、位置情報の取得は可能です。
位置情報は、自分自身が使うアプリで利活用するだけでなく、アプリを通じてサービス事業者などにも送付される場合があります。時と場合によっては、精度の高い位置情報を渡したくないこともあるでしょう。プライバシーにも関わる話です。そういう時には、位置情報サービスをオフにし、Wi-Fiもオフになっているかを確認しましょう。
*2:Apple「プライバシーと位置情報サービスについて」
https://support.apple.com/ja-jp/HT203033
*3:参考:https://support.google.com/nexus/answer/1725632?hl=ja