公共Wi-Fiの危険(HTTPSが当たり前になっても)

数年前、カフェのネットワークを使うときのアドバイスは単純で、そして 厳しいものでした。誰かがあなたの通信を読んでいると思え、というもの です。その後、HTTPSがほぼあらゆる場所で標準となり、ブラウザは平文の サイトについて声高に警告するようになり、多くの人が静かに心配する のをやめました。

この後半が問題です。公共Wi-Fiの危険は、HTTPSが勝利したときに消えた わけではありません — 場所を移しただけです。かつてあなたの Gmailのパスワードを空中から盗み取っていた受動的な盗聴者は、ほとんど 割に合わなくなりました。残っているものはより興味深く、より狙いを 定めており、そして気づきにくいものです。鍵のアイコンがすべてを 問題なさそうに見せてしまうからです。

この記事では、HTTPSが実際に直したこと、直さなかったこと、そして 自分が所有していないネットワークでのリスクを意味あるかたちで変える ひと握りの習慣について見ていきます。

HTTPSが実際に解決したこと

評価すべき点は評価しましょう。HTTPS — ウェブプロトコルの 暗号化版 — は、公共Wi-Fi問題の最も大きく、最も単純な形を確かに 直しました。

2014年には、あなたと同じ空港のネットワークにいる誰かが無料のツールを 実行し、あなたのブラウザがFacebookを読み込むのを眺め、あなたの セッションクッキーを持ち去ることができました。その種の攻撃はほぼ 消滅しています。HTTPSの標準化、HSTS(「このサイトは二度とプレーンな HTTPで読み込むな」とブラウザに伝えるフラグ)、そしてより厳格な クッキー規則の組み合わせにより、主要サイトに対する手軽な受動的な 盗聴ではたいした成果は得られなくなりました。

あなたの脅威モデルが「三つ向こうのテーブルにいる退屈した10代の子に メールを読まれたくない」というものなら、HTTPSがそこまで連れて行って くれました。

一段上の脅威モデルになると、話はより正直なものになります。

HTTPSがカバーしないこと

HTTPSは、特定のサーバーへの接続の中身を暗号化します。その接続が確立 される前の手順は保護しませんし、何かが少しおかしく見えるときに あなた自身からあなたを守ってはくれません。ここに、公共Wi-Fiの危険が 今なお潜んでいます。

キャプティブポータルへの注入

ホテルや空港のWi-Fiで現れる「規約に同意する」ページは、キャプティブ ポータルと呼ばれます。これを機能させるには、ネットワークがあなたの 最初のウェブリクエストを横取りし、自分の選んだ場所へリダイレクト しなければなりません。これは設計上の中間者です。許可されたもの ですが、それでも中間者なのです。

きちんと運用されているキャプティブポータルは無害です。ずさんに 運用されているもの(あるいは意図的に敵対的なもの)は、あなたに JavaScriptを送り込んだり、偽のソフトウェアアップデートを押し付けたり、 参加するすべての端末をひそかにプロファイリングしたりできます。 スマートフォンはしばしばポータルを、完全なアドレスバーのない簡素化 されたブラウザで表示するため、自分が実際に何を見ているのか判別し にくくなります。

脆弱なリゾルバでのDNSハイジャック

bank.comと入力すると、あなたの端末はネットワークの DNSリゾルバに「そのIPアドレスは何ですか?」と尋ねます。公共ネット ワークでは、そのリゾルバはアクセスポイントの所有者が運用しています。

設定の誤ったリゾルバや悪意あるリゾルバは、嘘をつくことができます。 あなたを銀行ではないサーバーへ送り込み、自分の証明書を提示すること ができます。現代のブラウザは警告してくれます — ただし証明書が 誤っている場合に限り、しかもあなたがクリックして通り抜けるのでは なく警告を読んだ場合に限ります。

設定不備のサイトでのSSLストリッピング

SSLストリッピングは、狭い条件下では今も通用する古い手口です。 攻撃者は、あなたと到達しようとしているサイトとの間に割り込みます。 あなたがexample.comと入力すると(https://の 接頭辞なしで)、ネットワークがそれを横取りし、本物のHTTPSページを 自分で取得し、あなたにはプレーンなHTTPのコピーを渡します。

HSTSプリロードを使っているサイトは影響を受けません。使っていない サイト(典型的には小規模なサービス、社内ツール、あるいは古い ブックマーク経由でたどり着くもの)は影響を受けます。アドレスバーは 鍵のアイコンの代わりに http://をひっそりと表示しますが、ほとんどの人は 見ていません。

不正なアクセスポイントとエビルツイン

これは、上記の防御の大半をすり抜けるため、きちんと理解しておく 価値のあるものです。

スマートフォンはネットワークを記憶します。以前接続したことのある ものと一致するビーコン(Wi-Fi名を告げる小さなブロードキャスト パケット)を見つけると、自動的に接続できてしまいます。市販のハード ウェアを持つ攻撃者は、 Starbucks WiFiやHotel Guestを名乗るビーコンを ブロードキャストし、あなたのスマートフォンを正規のネットワークから 切り離す認証解除フレームを送り、あなたが何も触れていないのに端末が 相手のネットワークへ乗り移るのを眺めることができます。

そこからは、攻撃者がネットワークそのものです。彼らはDNSを制御します。 キャプティブポータルを運用します。中身が暗号化されていても、あなたの 端末のどのアプリがどのサーバーに到達しようとしているかを見ることが できます。彼らは独自のキャプティブポータルのページを出し、プリ ロードされていないものに対してSSLストリッピングを試み、通常の ログインの流れに見えるものの中で認証情報を入力させようとします。

その技術的な名称は「エビルツイン」で、厄介なのは、それが起きている ことを何も警告してくれない点です。あなたのスマートフォンは、見慣れた Wi-Fiのアイコンを表示するだけです。

証明書警告への慣れ

ブラウザは警告がうまくなりました。ユーザーはそれを無視するのが うまくなりました。

全画面の赤い証明書警告を目にしたとき、それはほぼ必ず接続に何か問題が あることを意味します。無害な場合もあれば(期限切れの証明書)、 そうでない場合もあります(進行中の中間者)。対処法は、クリックして 通り抜けないことです。実際には、人々は何年もの設定不備な企業 ネットワークによって、読まずに「とにかく続行」ボタンを連打するよう 訓練されてきました。

カフェのネットワークでは、そのボタンこそが攻撃のすべてになり得ます。

エビルツイン攻撃の実際の仕組み

これらがどう噛み合うのか、実体のある一枚の絵が欲しいなら、エビル ツイン攻撃が最もわかりやすい例です。

攻撃者はノートパソコンか小さな携帯型の機器をカフェに持ち込みます。 そして、3つのことを順に行うソフトウェアを実行します。

まず、近くのWi-Fiネットワークを求めて空中をスキャンし、正規のものの 名前(SSID)を記録します。たとえばCafe Guestだとしましょう。 次に、同じ名前で自分のビーコンフレームのブロードキャストを始めます。 端末がそちらを優先するよう、しばしばより高い出力で行います。

次に、すでに本物のネットワークに接続しているクライアントへ認証解除 フレームを送ります。認証解除フレームはWi-Fiの仕組みのごく普通の 一部です — 端末に「切断されました、再接続してください」と 伝えるものです。ほとんどのネットワークではこれは認証されておらず、 つまり誰でも送ることができます。本物のネットワーク上のスマート フォンは弾き出され、再接続先を探します。

三つ目に、攻撃者はキャプティブポータルを提示します。「無料Wi-Fiに アクセスするため」にメールアドレスとパスワードを求めるかもしれません。 ホテルのログインページを模倣するかもしれません。あるいは黙ってあなたを 通し、あなたの通信を自分の接続経由で流し、すべてを記録するかもしれ ません。あなたのスマートフォンから見れば、あなたはオンラインです。 攻撃者から見れば、彼らは今やあなたのISPです。

防御とは、パケットヘッダーを読むことではありません。攻撃を割に 合わないものにすることです — 未知のネットワークに自動接続しない、 機微な通信をローカルネットワークが覗き込めない何かを通して流す、 そして自分が意図的にたどり着いたわけではないページに認証情報を入力 しない、ということです。

2026年の公共Wi-Fiは安全か?

正直な答え。たいていのことには十分安全ですが、すべてに対して十分 安全というわけではありません。

ニュースを読む、レシピを調べる、SNSをスクロールする — これらは 問題ありません。その通信を誤ったときの代償は小さく、現代のブラウザの 保護は本物です。

銀行にログインする、業務の管理パネルにアクセスする、送金を承認する、 あるいは復旧コードをSMSで送ってくる新しいサービスにサインインする — これらは、「たぶん大丈夫」と「確実に大丈夫」の差が効いてくる、 より価値の高い場面です。その差を埋める安上がりな答えは、自分で制御 できないネットワークではそれらを行わないことです。

実践的な5つのステップ

どれもパケットフレームについて考える必要はありません。これらは 習慣です。

1. 未知のネットワークへの自動接続をオフにする。iPhoneでは、 これは設定 → Wi-Fi → インターネット共有へ自動接続にあり、 ネットワークごとには Wi-Fi → (ネットワーク名) → 自動接続に あります。狙いは、見慣れた名前のものに接続する前に端末があなたに 尋ねるようにすることです。関連する手順については、 iPhoneでのVPN設定の手順 をご覧ください。
2. 可能なときはモバイル通信や自分のテザリングを優先する。 5G 接続は完全にプライベートではありませんが、責任を負う単一の事業者が おり、見知らぬ他人がその真ん中に割り込む簡単な方法はありません。 旅行中に何か機微なことをするなら、スマートフォンのテザリングは 通常、ホテルのネットワークより良い答えです。
3. 大事な場面ではVPNを使う。 VPN(バーチャル プライベートネットワークの略)は、あなたの通信を、信頼するサーバーへの 暗号化されたトンネルを通して流します。そのため、ローカルネット ワークにはその一本の接続だけが見え、その行き先については何も 見えません。これは上記のカテゴリの大半を無力化します。キャプティブ ポータルは相変わらずうるさく言ってきますが、あなたのDNSの問い合わせを 見ることはできず、訪問先のサイトでSSLをストリッピングすることも できず、あなたがどのアプリを使っているかをプロファイリングすることも できません。この考え方が初めてなら、 VPNとは実際に何かについての入門 が基本をカバーしており、 移動中のVPNについてのガイド が具体的な点に踏み込んでいます。Snapはその姿勢を中心に作られた 選択肢の一つですが、ブランドよりも幅広い習慣のほうが大切です。
4. 公共ネットワークでは決して証明書警告をクリックして通り抜けない。 証明書に関する全画面のブラウザ警告が出たら、そのタブを閉じてください。 自宅のネットワークならほぼ必ず設定不備のサイトですが、カフェの Wi-Fiでは誰かが実際に真ん中に割り込んでいるかもしれません。誤った ときの代償が十分に高いため、「後でもう一度試す」が正しいデフォルト です。
5. 機微なログインや取引は信頼できるネットワークまで取っておく。 銀行取引、パスワードのリセット、復旧コードや二要素の流れを伴う あらゆること — これらは、モバイル通信や自宅のWi-Fiに戻るまで 待つというわずかな手間に見合います。空港でそれらを済ませることで 得られる利便性は、うまくいかなかったときの非対称な損失に見合いません。

VPNが直すことと直さないこと

この点については雑音が多いので、具体的にしておく価値があります。

VPNが直すこと:

• ローカルネットワークがあなたのDNSの問い合わせを見る能力
• SSLストリッピング(あなたの通信が敵対的なネットワークを平文で 通過しなくなる)
• キャプティブポータルを通過した後のキャプティブポータルによる プロファイリング
• 不正なアクセスポイントがあなたの活動について何か有用なことを 知る能力

VPNが直さないこと:

• あなたが結局クリックして通り抜けてしまう証明書警告
• あなたが自ら積極的にログインするフィッシングページ
• すでに端末上にあるマルウェア
• 訪問するウェブサイトが、アカウントやクッキーを通じて依然として あなたを特定できるという事実

これは、公共Wi-Fiの危険のうち特定の一クラスに対する鋭い道具です。 魔法の盾ではありませんし、それをそのように売る製品は、できることを 誇張しています。 よくあるVPNの誤解に関する まとめが、マーケティングと現実の差にもっと踏み込んでいます。

まとめ

HTTPSは問題の易しい方を解決しました。より難しい方、すなわち接続の 下にあって、DNS、キャプティブポータル、不正なアクセスポイントが潜む 層は、何かがうまくいかなくなるまでほとんど目に見えません。

これについて分別を持つために、ネットワークエンジニアになる必要は ありません。自動接続をオフにし、キャプティブポータルに懐疑的になり、 証明書警告をクリックして通り抜けず、賭け金が本物のときはモバイル通信 かVPNを使う、ということです。

iOS上でVPNの部分をきれいに片付けたいなら — 登録時にメール不要、 通信ログなし、サブスクリプションはApple ID経由で静かに請求 — Snapはまさにその姿勢を中心に作られています。macOS 版も準備中です。いずれにせよ、最も大切なのはどのアプリをインストール するかではありません。カフェのネットワークを自分のものであるかの ように扱うのをやめることです。