総務省が、パスワード不要の公衆無線LANに規制をかける模様です。
総務省は15日、情報漏洩(ろうえい)やサイバー攻撃に利用される危険性のある、パスワード不要の公衆無線LANアクセスポイント(AP)に関する規制を原則として強化する方針を固めた。
公衆無線LANにパスワードをかけても、サイバー攻撃は防ぐことはできないし、盗聴されるリスクを回避することは出来ないと思われますが、その辺りはどうなのでしょうか。
公衆無線LANの通信を暗号化すれば安全なのか?
無線LANの通信を暗号化する場合、WPA2と呼ばれる認証プロトコルを使うのが、セキュリティが最も高いと言われています。
一昔前だとWEPという認証プロトコルを使っていましたが、WEPは解読可能な認証プロトコルなので、最近は使っている人はあまりいないはず。
では、WPA2の認証プロトコルを使えば、同じ無線LAN内で悪意を持った第三者の攻撃から守られるのでしょうか?また、通信の盗聴から守られるのでしょうか?
答えはNOです。
WPA2に、どのような脆弱性があるのか見ていきましょう。
KRACKsと呼ばれる攻撃にはWPA2は脆弱だった
2017年10月、Mathy Vanhoef氏が、WPA2/WPAの認証プロトコルに脆弱性があることを発表しました。
発表によると、KRACKsの特徴は、同一無線LAN内に悪意を持った第三者がいた場合、通信を盗聴されたり、別サイトへ誘導されたりする危険性があるとのこと。
ただし、すべての通信が盗聴されるわけではありません。HTTPS通信であれば、通信自体が暗号化されているので、盗聴できません。Googleのサービスや、Yahooのサービス、Amazonでのネット通販、ネットバンキングなどは、ほぼ100%HTTPS化されているので、盗聴されないと思って大丈夫です。
とはいえ、暗号化していないメールソフトでメールをチェックする場合、メールの中身は盗聴されてしまいます。また、HTTPS通信でも、閲覧したサイトの履歴は分かってしまうのです。
攻撃者が、脆弱性のあるWi-Fiネットワークの電波を受信できる場合、KRACKsの攻撃手法を使ってWPA/WPA2プロトコルの暗号化を解読してWi-Fiの通信内容を復号・盗聴することが可能となります。
※ 攻撃者が復号・盗聴できる通信はあくまで「暗号化されたWi-Fiの通信」です。利用者からサーバーまでの経路がSSLやVPNなどで暗号化されていれば、Webサイト閲覧などのデータがKRACKsによって直接盗み見られることはありません。
KRACKsへの対応は?
多くのベンダーがパッチなどのアップデートで対応しています。
- Googleは、Androidの11月の月例パッチで、KRACKsに対応しています。
- Appleも、10月31日に提供したiOS11.1で、KRACKsに対応しています。
- Microsoftも10月10日のアップデートで、KRACKsに対応しています。
- Intelも、影響のあるチップセットに対してパッチを提供しています。
ただし、今後、KRACKsに替わる脆弱性が発見される可能性はあるはず。
パスワードが不要な公衆無線LANには、絶対に繋がないでください
パスワードが不要で、暗号化されていない公衆無線LANには、繋がないでください。
仮に接続してしまったとしても、HTTPSで通信しているウェブサイトへの接続や、HTTPSで通信するアプリならば、通信が暗号化されているので、盗聴される心配はありません。
とはいえ、今でもHTTPのウェブサイトはたくさんありますよね?暗号化されていないので盗聴し放題です。
また、スマホのアプリでの通信は、HTTPなのかHTTPSなのか分かりませんよね?アプリによっては、HTTPの暗号化されていない通信が今でもあるのご存知ですか?
Appleは、2017年1月1日からiOSで提供される全てのアプリにHTTPS通信を義務付ける予定でしたが、アプリ開発者の対応が遅れているため、延期しています。
ということは、アプリによっては、HTTPで通信しているものもあるということだよね。
To give you additional time to prepare, this deadline has been extended and we will provide another update when a new deadline is confirmed.
追加の準備時間を与えるために、ATSの期限が延長されました。新しい期限が確認されたら、もう一度更新する予定です。
公衆無線LANにパスワードを必須にしても、ユーザーのセキュリティは上がらない
公衆無線LANにパスワードを必須にして、ユーザーがWPA2で通信できるようになったとしても、KRACKsの脆弱性が100%解決したわけではないし、KRACKsに替わる脆弱性が発見される危険性もあります。
公衆無線LANにパスワードを必須にしても、問題は解決されないのです。
政府はVPNを整備すべし
今回、総務省は有識者会議を設置して、2019年に公衆無線LAN事業者向けのガイドライン(指針)を改定するという話ですが、はっきり言って時間とお金の無駄ですわ。
きちんと予算をつけてVPNを整備するべきです。VPNでの通信ならば、悪意を持った第三者からの盗聴や、ウェブサイトの改ざんを防ぐことができますからね。
VPNとは
VPNとは、Virtual Private Networkの略で、仮想プライベートネットワークのことです。
VPNを経由した通信は、暗号化で保護されるため、データの盗聴や漏洩のリスクが低くなります。
VPNで通信することで、盗聴されるリスクを回避することができるのです。
まとめ
以上のように公衆無線LANは盗聴されるリスクと隣り合わせです。
どうすれば公衆無線LANでの盗聴がなくなるのかというと、世の中の全てのウェブサイトがHTTPS化され、スマホのアプリもすべてHTTPSで通信される環境になれば、盗聴はなくなります。
全ての通信がHTTPSになるには、まだまだ時間がかかるので、政府が主導してVPNを整備するべきなのです。
さいごに
もし、あなたが公衆無線LANを使う場合、必ずVPNアプリを使ってくださいね。
ビジネスホテル、空港、駅、飲食店などの公衆無線LANは、常に盗聴される危険がありますからね。
ナレッジ