熊本を中心とした大規模災害の救援措置として、現在NTTドコモ、KDDI、ソフトバンクが共同で、認証なくWi-Fiを使えるように 00000JAPAN(※1) という名前で公衆無線LANを無料開放しています。避難時の情報収集がスマホ頼みにならざるを得ない状況において非常にありがたい施策であるとは思いますが、こうしたものを利用するにあたって事前にリスクも頭に入れておいてほしくこの記事を書きました。
これは災害時のみならず、平時の利用にも関わってくることなので、ぜひこの機会に憶えておいてほしい。
【要点のみを知りたい人に】
iPhoneで暗号化されていないWi-Fiスポットを利用した場合は、平穏を取り戻してそのスポットを利用しなくなっても、勝手に接続してしまう可能性があるので設定をリセットをしましょう。
セキュリティ上のリスクがあります。
認証無しのWi-Fiへ接続するセキュリティリスク
パスワードも無しに使えるWi-Fiでは、暗号化されていない通信に関してどんなデータを送受信しているかが筒抜けになり、情報窃取される可能性があります。できれば使わない方が賢明です。
00000JAPANは暗号化されてないとはいえ、大手キャリアが提供しているため信頼できると考える人が多いでしょう。
しかし同じSSID(Wi-Fi名)を名乗ったWi-Fiというのは誰でも自由に立てることができる。
そのためどれが公式に提供されているものかを見定めるのは非常に困難だと思います。
誰かがトラップとして設置したものと公式のものの見分けがつかないのだから、使う際には気を付けなくてはなりません。
とはいえそれは平時のおいてのことであり、こと災害時には性善説を採り、積極的に利用していくことも必要です。
しかし、災害時でもセキュリティのかかったネットワークを利用できる状況にあるのならば、そちらを選択すべきなのは変わりません。
あくまで緊急用の通信手段として使うにとどめてください。
次の項では、災害時には有用な通信手段であるが、平時にはそれが仇となる場合も考えねばならないということを解説していきます。
平時における00000JAPANのリスク
00000JAPANは災害の復興とともにその提供が終了される。
そこでおしまいと考える人が多いだろうが、そうではないのだ。
ご存知のように、iPhoneは一度接続したことのあるWi-Fiと同じSSIDのWi-Fiを検知すると自動的に接続を試みるようになっている。
遠方のコンビニや駅などで勝手にWi-Fiにつながってしまうのはその仕組みによるものだ。
それがうっとおしくて外出時にはWi-Fiをオフにしている人も多いことだろう。
どこかのWi-Fiに接続するということは、インターネットが使えるようになるだけではなく、【今後そのネットワークを常に信頼し自動的に接続する】と表明するのに等しいということを忘れないでほしい。
同じSSIDがあればそれを信頼して接続してしまうのだ。
日常を取り戻したあとでも、誰かが00000JAPANの偽Wi-Fiスポットを用意したらそれに自動でつながってしまうだろう。
これはのちに大きなリスクとなりうる。
さて話を少し戻す。
コンビニのWi-Fiと同じSSIDのトラップを用意したらどうなるだろうか。
一度接続したことのあるWi-Fiと同じSSIDであれば自動的に接続をしようと試みる。
しかしこれらには認証が必要なため、同じSSIDを使った偽物のWi-Fiスポットを用意しても勝手につながるようなことはない。
同じSSIDでも、IDとパスワードが合わなければ接続に成功しないからだ。
本来であればIDとパスワードで保護されているので、知らない偽のネットワークにつながるようなことはないが、00000JAPANには認証が無い。そこが問題となる。
災害時でなくとも、一度利用したことがあれば00000JAPANに勝手につながってしまうことは知っておくべきだろう。
ただし前項で述べたように、災害時の利用に際してこのようなリスクはあまり考えなくてもよい。考えるべきはそれが終わった後だ。
具体的な脅威
さて、前項までの内容で一度利用したWi-Fiは自動的に接続してしまう仕組みがあることが分かったと思う。
そして同じSSIDは誰でも自由に設定できるということも。
Wi-Fiに接続した際にブラウザでログインを求めてくるスポットに出くわしたことはないだろうか?
Wi2premiumやat_STARBUCKS_Wi2などに代表されるもので、それらはネットワークが暗号化されていない。接続してブラウザを立ち上げてみるとネットワークのログイン画面が出てくるはずだ。
接続はするがそこから先のインターネット接続にはログインを要求するというもの。
そうしたものに偽のWi-Fiスポットがあったらどうなるか想像してみてほしい。
―――
あなたは大きなイベントに参加したとする。ロックフェスでもいいし、コミックマーケットでもいい。多くの人間が集まっているところだ。
そこに00000JAPANという偽SSIDのWi-Fiスポットがあり勝手に接続してしまった。
さらにブラウザを起動したらログイン画面が出てきた。
『○○ロックフェス公式無料Wi-Fi – ログインすると高速インターネットが無料でお使いいただけます。TwitterIDとパスワードをご入力ください』
―――
これに引っかからないでいられる人はどれくらいいるだろうか。
もちろんたくさんいると思うが、引っかかる人も少なからず出てくるだろう。
こうしたことを想定すると、暗号化されていないWi-Fiに自動で勝手につながってしまうのは望ましくないことなのがわかると思う。
あなたのできる対策
最も有効なのはネットワーク設定のリセットだ。
iPhoneの設定アプリから【一般 → リセット → ネットワーク設定をリセット】と進む。
ここでリセットをするとすべてのWi-Fi設定をやり直す羽目にはなるが、勝手に接続をしに行くWi-Fiの情報もリセットされるのでぜひ試してみてほしい。
自宅Wi-FiのログインIDとパスワードがわからない人はちゃんと調べてから行うように。
iPhoneの設定アプリから個別に削除することも可能だが、同じSSIDを受信可能な状態であることも条件の一つになるのであまりいいやり方ではない。
設定アプリから【Wi-Fi → 当該SSIDの横にあるiボタンをタップ → このネットワーク設定を削除】と進む。
これで個別に自動接続を解除することができる。
個別削除をしたところで、本人の意図しないところでログインしている可能性もあるので、可能であれば個別削除にとどめず一度はネットワーク設定のリセットをしておくといいだろう。
次の項ではWi-Fiを便利にするアプリを紹介していく。
WiFi Priority
そもそもの原因は手動で接続するのではなく、すべて自動接続になってしまったことにある。
過去にも紹介したことがあるが、自動接続を止めて手動に切り替えるアプリが存在するので改めて紹介したい。
これはiPhoneに好きなフォントをインストールできるAnyFontという画期的なアプリを開発したデベロッパによるもので、個別のSSIDごとに手動接続が設定できるというものだ。
駅に着くたびにWi-Fiを拾ってしまい、発車してすぐに使えなくなるなんて日常のイライラもこれがあれば解消できる。
これの良いところは、ネットワーク設定のリセットや削除を行わないので、接続したくなるたびに再度設定をするなんて手間がかからないところだ。
Wi-Fiをオンにしていても勝手に接続はせず、つなぎたいWi-Fiをタップして初めて接続するようになる。
使い方などは説明するほどではないが過去のレビューを参考にしてほしい。
次の項ではWi-Fiの接続履歴がわかるアプリを。
WifiMan from DataMan
自分がどこのWi-Fiに接続をしているんだか履歴がほしいって人はいませんか?
このWifiManはアプリインストール後からどこのネットワークに接続して、どれくらいの通信をおこなったかを一目でわかるようになります。
便利な通信量チェッカーの開発でおなじみのDataMan(※3)デベロッパによるものです。
私は公衆無線LANを使った記憶なんてないのですが、ちょっと歩いていただけで知らぬ間にドコモのWi-Fiへつなぎに行っていたようでちょっと驚きました。
iPhoneの設定アプリだけではどこのネットワークにつないでいたかなんて履歴はわかりませんけど、このアプリがあれば一目瞭然です。
レビュー記事を書くつもりでいたんですが、ちょうどこの記事を公開するタイミングでアプリが無料セールを行っていたので紹介しておきます。
ぜひ入れて、自分がどれだけ意図していないネットワークに接続しているかを確認してほしいと思う。
おわりに
00000JAPANという取り組みは素晴らしいものだし、冷や水を浴びせる意図はありません。
ただ、使うのであれば、それによって生じる影響の範囲は知っておくべきだというのがこの記事の趣旨。
―――
少し前にiPhoneの時間を非常に大きく変更することで、iPhoneがまったく使えなくなる重大なバグが話題になったことを憶えているでしょうか?
ただ時刻を変えるだけで使えなくなるというものでした。
海外では改造したWi-Fiを使い、そこに接続するだけでiPhoneの時間設定を変更して端末を操作不能に追い込むデモが公開されています。
New Threat Can Auto-Brick Apple Devices — Krebs on Security
この時刻バグはiOS9.3.1で修正済みではあるが、Wi-Fiに接続しただけでこのようなことを引き起こせるということが示された以上、信頼できないネットワークへうかつに接続すべきではないことがわかるでしょう。
―――
重ねて言うが、これは00000JAPANに限った問題ではありません。
すべての暗号化されていない公衆無線LANサービスを利用する際に言えることだ。
もし私がこの仕組みを悪用するのであれば、もっと効率的なところを狙うだろう。
まずは一度、ネットワーク設定をリセットしてみてはいかがだろうか。
そのうえでWiFi PriorityとWifiManのご利用も検討していただきたい。
最後に00000JAPANのガイドライン』(※2)からセキュリティの項を引用しておく。
短く全部に読むのもさほど大変ではない資料なので、お時間のある人はぜひ目を通しておくとよいです。
4.4 セキュリティ上の考慮点
公衆無線 LAN サービスを無料開放する方法として、通常の認証手順を省略する手法が一般的に用いられる。この場合、適切な情報セキュリティ対策が講じられないため、情報窃取等の行為など悪用される危険性が生じる。
通常であれば、このような悪用を未然に防止するために認証および通信内容の暗号化等の措置が講じられ、仮に問題が発生した場合でも追跡可能なアビューズ対策がとられる。無料開放の際には、これらの対策が有効に機能しなくなる恐れが生じることを充分に配慮して、対象エリアや無料開放の期間を決定する必要がある。
携帯インフラの復旧に時間を要し、長期間の避難所生活を余儀なくされる場合においては、無料開放された公衆無線 LAN サービスは避難・救援の目的から日常的な利用目的へと移行する。この場合、クレジットカード番号を入力した際のリスク等、セキュリティに関する充分な注意喚起が必要である。このため、公衆無線 LAN サービスの無料開放におけるセキュリティリスクについて、ユーザに対する啓蒙活動を行うことが望ましい。
一般的に、セキュリティ対策とユーザの利便性とは相反する要素ととらえられることがあるが、大規模災害時においては、一人でも多くの人に通信手段や災害情報を提供する観点から、利便性を重視しつつ、どのようなセキュリティ対策を講ずべきかという視点で継続検討することが重要である。無線 LAN に係る情報セキュリティ対策の詳細については総務省「企業等が安心して無線 LAN を導入・運用するために」(平成 24年)を参照されたい。
このサービスがリスクを踏まえたうえでの緊急時の運用なことを知ってほしい。
参考
※2
大規模災害発生時における公衆無線 LAN の無料開放に関するガイドライン(PDF)
3.1.1 災害用統一 SSIDの項にこう書いてある。
災害用統一 SSID の普及にあたっては、上記の技術的課題に加え、「営利目的利用」「平時の悪用」などの運用上の課題が考えられるため、参加に一定の基準を設けることとする。その内容を別添 1 に示す。
別添1が見つけにくかったので、こちらのリンクも用意した。
世の中には善意と同じだけ悪意がありますからね。
熊本の震災でも、倒壊放置された家屋に空き巣が入ったとの報道がありました。
こんな時ですら。。いやこんな時だからこそなのか。
連日の震災報道で、ただただ心が痛みます。
メディアは同じような報道ばかりしてないでこういう情報も同時に注意喚起して欲しいですね。
津波の被害がないせいか、自分の周りの人達が東日本に比べて関心が薄いように感じます。
自分に出来る範囲で支援しよう。
情報を追い求めすぎてご自身が疲弊することのないように気を付けてください。
この記事に書いたことはマスコミの報道ではなく、いずれ雑誌のセキュリティ特集とかそういうところでやるべきだと思います。
平時にこそ知っておくべき知識であって、たぶんニュースで流しても逆効果ですから。
私のiPhoneにはWi-Fi経由で盗むことのできる重要なデータなんて入っていない。多くの人がそうでしょう。勝手に偽Wi-Fiに繋がったとしても、最近のログインページやメールなんかはhttpsで接続されているし、困ることはないでしょう。もし震災とかの時に使えるWi-Fiがあるのなら助かるし使いたい。
この記事はそういう論旨ではありません。
名無しさん
maxiさんが記事で伝えてるのはそういう事じゃないです。
maxiさん
確かに、今じゃないですね。
でも、マスコミの報道、バラエティでもいいですが普通の人が目にする媒体で伝えるべきだと思います。普通の人は専門雑誌をなかなか読みません。そもそも、そこに手を出す人やここの記事を愛読してる人は自分で情報を取得できる人達です。
そうじゃない層に伝える必要があると思います。情弱と切り捨てるのは優しくないです。
自分はたまたまmaxiさんのブログを見つけて今では愛読してますが、あまり詳しいことは理解できない普通の人の層に属する側なので( >_<)
私も多くの人に届いてほしいと思ってはいますけど、現状では懸念があるというだけなので啓蒙の難しさを肌で感じています。もともと顕在化しにくい問題ですし。
大衆への周知にマスコミを動かそうと思ったらもっと明確な危機が無いとだめでしょうね。
まずはリテラシー高めなところから認識してもらって、iOSの仕様が良くないというところにまで火が付くように、というのが最善の結果です。
あれだけテレビで注意喚起をしていてもオレオレ詐欺が無くならないのですから、その手口を広く知らしめるだけでは水面下での被害が増えるだけでしょう。
鼻糞一発さんの書かれるように、一般層にまでしっかりこの認識を共有できるようにしたいというのは本当にそうありたい理想です。それは間違いありません。
私がセール情報記事を更新しているのも、本当に伝えたい情報があったときに読んでくれる人が少しでも多くなればという意図があります。
影響力のあるサイトとして成長すればもっと多くの人に届けられますから。いつかは。