書籍「いちばんやさしいGoogleビジネスプロフィールの教本」

総務省は公衆無線LANに規制をかけるのではなく、VPNを整備すべし

インターネットセキュリティー

総務省が、パスワード不要の公衆無線LANに規制をかける模様です。

総務省は15日、情報漏洩(ろうえい)やサイバー攻撃に利用される危険性のある、パスワード不要の公衆無線LANアクセスポイント(AP)に関する規制を原則として強化する方針を固めた。

公衆無線LANの規制強化 「パスワード不要」自粛求める 総務省が来年度、サイバー攻撃の増加に対応

公衆無線LANにパスワードをかけても、サイバー攻撃は防ぐことはできないし、盗聴されるリスクを回避することは出来ないと思われますが、その辺りはどうなのでしょうか。

公衆無線LANの通信を暗号化すれば安全なのか?

無線LANの通信を暗号化する場合、WPA2と呼ばれる認証プロトコルを使うのが、セキュリティが最も高いと言われています。
一昔前だとWEPという認証プロトコルを使っていましたが、WEPは解読可能な認証プロトコルなので、最近は使っている人はあまりいないはず。

では、WPA2の認証プロトコルを使えば、同じ無線LAN内で悪意を持った第三者の攻撃から守られるのでしょうか?また、通信の盗聴から守られるのでしょうか?

答えはNOです。

WPA2に、どのような脆弱性があるのか見ていきましょう。

KRACKsと呼ばれる攻撃にはWPA2は脆弱だった

2017年10月、Mathy Vanhoef氏が、WPA2/WPAの認証プロトコルに脆弱性があることを発表しました。

発表によると、KRACKsの特徴は、同一無線LAN内に悪意を持った第三者がいた場合、通信を盗聴されたり、別サイトへ誘導されたりする危険性があるとのこと。

ただし、すべての通信が盗聴されるわけではありません。HTTPS通信であれば、通信自体が暗号化されているので、盗聴できません。Googleのサービスや、Yahooのサービス、Amazonでのネット通販、ネットバンキングなどは、ほぼ100%HTTPS化されているので、盗聴されないと思って大丈夫です。

とはいえ、暗号化していないメールソフトでメールをチェックする場合、メールの中身は盗聴されてしまいます。また、HTTPS通信でも、閲覧したサイトの履歴は分かってしまうのです。

攻撃者が、脆弱性のあるWi-Fiネットワークの電波を受信できる場合、KRACKsの攻撃手法を使ってWPA/WPA2プロトコルの暗号化を解読してWi-Fiの通信内容を復号・盗聴することが可能となります。

※ 攻撃者が復号・盗聴できる通信はあくまで「暗号化されたWi-Fiの通信」です。利用者からサーバーまでの経路がSSLやVPNなどで暗号化されていれば、Webサイト閲覧などのデータがKRACKsによって直接盗み見られることはありません。

【緊急レポート】KRACKs(key reinstallation attacks:鍵再インストール攻撃)について

KRACKsへの対応は?

多くのベンダーがパッチなどのアップデートで対応しています。

  • Googleは、Androidの11月の月例パッチで、KRACKsに対応しています。
  • Appleも、10月31日に提供したiOS11.1で、KRACKsに対応しています。
  • Microsoftも10月10日のアップデートで、KRACKsに対応しています。
  • Intelも、影響のあるチップセットに対してパッチを提供しています。

ただし、今後、KRACKsに替わる脆弱性が発見される可能性はあるはず。

パスワードが不要な公衆無線LANには、絶対に繋がないでください

パスワードが不要で、暗号化されていない公衆無線LANには、繋がないでください。

仮に接続してしまったとしても、HTTPSで通信しているウェブサイトへの接続や、HTTPSで通信するアプリならば、通信が暗号化されているので、盗聴される心配はありません。

とはいえ、今でもHTTPのウェブサイトはたくさんありますよね?暗号化されていないので盗聴し放題です。

また、スマホのアプリでの通信は、HTTPなのかHTTPSなのか分かりませんよね?アプリによっては、HTTPの暗号化されていない通信が今でもあるのご存知ですか?

Appleは、2017年1月1日からiOSで提供される全てのアプリにHTTPS通信を義務付ける予定でしたが、アプリ開発者の対応が遅れているため、延期しています。
ということは、アプリによっては、HTTPで通信しているものもあるということだよね。

To give you additional time to prepare, this deadline has been extended and we will provide another update when a new deadline is confirmed.

追加の準備時間を与えるために、ATSの期限が延長されました。新しい期限が確認されたら、もう一度更新する予定です。

Supporting App Transport Security

公衆無線LANにパスワードを必須にしても、ユーザーのセキュリティは上がらない

公衆無線LANにパスワードを必須にして、ユーザーがWPA2で通信できるようになったとしても、KRACKsの脆弱性が100%解決したわけではないし、KRACKsに替わる脆弱性が発見される危険性もあります。

公衆無線LANにパスワードを必須にしても、問題は解決されないのです。

政府はVPNを整備すべし

今回、総務省は有識者会議を設置して、2019年に公衆無線LAN事業者向けのガイドライン(指針)を改定するという話ですが、はっきり言って時間とお金の無駄ですわ。

きちんと予算をつけてVPNを整備するべきです。VPNでの通信ならば、悪意を持った第三者からの盗聴や、ウェブサイトの改ざんを防ぐことができますからね。

VPNとは

VPNとは、Virtual Private Networkの略で、仮想プライベートネットワークのことです。
VPNを経由した通信は、暗号化で保護されるため、データの盗聴や漏洩のリスクが低くなります。

VPNで通信することで、盗聴されるリスクを回避することができるのです。

海外でのアクセスはVPNを使うべし!

まとめ

以上のように公衆無線LANは盗聴されるリスクと隣り合わせです。

どうすれば公衆無線LANでの盗聴がなくなるのかというと、世の中の全てのウェブサイトがHTTPS化され、スマホのアプリもすべてHTTPSで通信される環境になれば、盗聴はなくなります。

全ての通信がHTTPSになるには、まだまだ時間がかかるので、政府が主導してVPNを整備するべきなのです。

さいごに

もし、あなたが公衆無線LANを使う場合、必ずVPNアプリを使ってくださいね。

ビジネスホテル、空港、駅、飲食店などの公衆無線LANは、常に盗聴される危険がありますからね。